Campanya de programari maliciós Noodlophile

Els ciberdelinqüents darrere del programari maliciós Noodlophile han estat duent a terme una campanya contínua dirigida a organitzacions dels Estats Units, Europa, els països bàltics i la regió Àsia-Pacífic. Combinant tàctiques de spear-phishing amb mecanismes de lliurament en evolució, pretenen implementar una potent eina de robatori d'informació que continua creixent en sofisticació.

Spear-phishing amb un toc especial

La campanya, activa des de fa més d'un any, ha evolucionat cap a correus electrònics de spear-phishing disfressats d'avisos d'infracció de drets d'autor. Aquests correus electrònics no són genèrics; els atacants els adapten utilitzant dades de reconeixement com ara els identificadors de pàgines de Facebook i els detalls de la propietat de l'empresa per augmentar la credibilitat.

Les primeres onades de la campanya Noodlophile , descobertes el maig del 2025, es basaven en eines falses basades en intel·ligència artificial promogudes a través de canals de xarxes socials com Facebook. Ara, el canvi a esquers relacionats amb els drets d'autor marca un nou capítol en la seva evolució. Cal destacar que ja s'han vist estratègies similars abans: el novembre del 2024, una campanya de phishing a gran escala va utilitzar denúncies falses per infracció dels drets d'autor per difondre el Rhadamanthys Stealer.

Anatomia de la cadena d’atac

L'operació actual comença amb correus electrònics de phishing originats per Gmail, dissenyats per evitar sospites alhora que inculquen urgència al voltant de presumptes infraccions de drets d'autor. Dins del correu electrònic, un enllaç de Dropbox proporciona un fitxer ZIP o MSI. Un cop executat, aquest instal·lador carrega lateralment una DLL maliciosa a través de binaris legítims de Haihaisoft PDF Reader. Abans que s'executi el lladre de Noodlophile, s'utilitzen scripts per lots per crear persistència modificant les entrades del Registre de Windows.

Una tècnica particularment evasiva implica les descripcions de grups de Telegram, que actuen com un "resolutor de captura inactiva" per dirigir les víctimes cap al servidor de càrrega útil real allotjat a paste.rs. Aquest mètode complica els esforços de detecció i eliminació alhora que permet el lliurament dinàmic de la càrrega útil.

Tàctiques d’evasió en evolució

Basant-se en campanyes anteriors que aprofitaven arxius codificats en Base64 i LOLBins com certutil.exe, la iteració actual afegeix:

• Canals de comandament i control basats en Telegram
• Tècniques d'execució en memòria per evadir la detecció basada en disc

Aquestes innovacions mostren una tendència constant cap a mecanismes d'evasió més sofisticats, cosa que fa que les defenses tradicionals siguin menys efectives.

Capacitats del Noodlòfil

Noodlophile no és un simple lladre, sinó un conjunt d'eines en contínua evolució dissenyat per exfiltrar una àmplia gamma de dades sensibles. L'anàlisi actual mostra que pot:

• Extreure dades del navegador i informació del sistema.
• Recopilar informació de xarxes socials relacionada amb l'empresa, especialment de Facebook.

L'anàlisi contínua del codi revela que els desenvolupadors estan treballant per ampliar la seva funcionalitat. Les funcions previstes inclouen la captura de captures de pantalla, el registre de claus, l'exfiltració d'arxius, la supervisió de processos, el reconeixement de xarxa, el xifratge d'arxius i l'extracció detallada de l'historial del navegador.

Un risc empresarial creixent

L'èmfasi de la campanya en les dades del navegador i de les xarxes socials destaca una estratègia deliberada: comprometre les empreses amb una forta presència en línia. Amb noves funcions en desenvolupament, Noodlophile podria evolucionar cap a una amenaça més versàtil i perillosa, combinant espionatge, robatori de credencials i potencialment fins i tot capacitats similars al ransomware en el futur.