Kampaň proti malwaru Noodlophile
Kyberzločinci stojící za malwarem Noodlophile vedou probíhající kampaň zaměřenou na organizace v USA, Evropě, Pobaltí a asijsko-pacifickém regionu. Kombinací phishingových taktik s vyvíjejícími se mechanismy doručování se snaží nasadit silný nástroj pro krádež informací, který se neustále vyvíjí v sofistikovanosti.
Obsah
Spear-phishing s trochou zajímavosti
Kampaň, která probíhá již více než rok, se přesunula k phishingovým e-mailům maskovaným jako oznámení o porušení autorských práv. Tyto e-maily nejsou obecné; útočníci je upravují pomocí průzkumných dat, jako jsou ID facebookových stránek a informace o vlastnictví společností, aby zvýšili důvěryhodnost.
Dřívější vlny kampaně Noodlophile , odhalené v květnu 2025, se spoléhaly na falešné nástroje poháněné umělou inteligencí propagované prostřednictvím sociálních médií, jako je Facebook. Nyní posun k lákadlům souvisejícím s autorskými právy představuje novou kapitolu v jejím vývoji. Je pozoruhodné, že podobné strategie byly vidět již dříve: v listopadu 2024 rozsáhlá phishingová kampaň využila falešná tvrzení o porušení autorských práv k šíření vírusu Rhadamanthys Stealer.
Anatomie útočného řetězce
Současná operace začíná phishingovými e-maily z Gmailu, jejichž cílem je obejít podezření a zároveň vzbudit naléhavost ohledně údajného porušování autorských práv. V e-mailu odkaz na Dropbox odešle buď soubor ZIP, nebo MSI. Po spuštění tento instalační program načte škodlivou knihovnu DLL prostřednictvím legitimních binárních souborů Haihaisoft PDF Reader. Před spuštěním zloděje Noodlophile se použijí dávkové skripty k vytvoření perzistence úpravou položek registru Windows.
Obzvláště obchvatnou technikou jsou popisy skupin v Telegramu, které fungují jako „dead drop resolver“ a nasměrují oběti na skutečný server s datovým obsahem hostovaný na paste.rs. Tato metoda komplikuje detekci a odstraňování a zároveň umožňuje dynamické doručování datového obsahu.
Vývoj taktik úhybných manévrů
V návaznosti na dřívější kampaně, které využívaly archivy kódované v Base64 a LOLBiny, jako je certutil.exe, aktuální verze přidává:
- Kanály velení a řízení založené na telegramu
- Techniky spouštění v paměti pro obcházení detekce na disku
Tyto inovace ukazují stálý trend směrem k sofistikovanějším mechanismům úniku, což snižuje účinnost tradiční obrany.
Schopnosti Noodlophile
Noodlophile není obyčejný zloděj dat, je to neustále se vyvíjející sada nástrojů navržená k exfiltraci široké škály citlivých dat. Současná analýza ukazuje, že dokáže:
- Extrahujte data prohlížeče a systémové informace.
- Shromažďujte informace o sociálních médiích souvisejících s podnikáním, zejména z Facebooku.
Probíhající analýza kódu ukazuje, že vývojáři pracují na rozšíření jeho funkčnosti. Mezi plánované funkce patří snímání obrazovky, keylogging, exfiltrace souborů, monitorování procesů, síťový průzkum, šifrování souborů a podrobná extrakce historie prohlížeče.
Rostoucí podnikové riziko
Důraz kampaně na data z prohlížečů a sociálních médií zdůrazňuje promyšlenou strategii: ohrozit podniky se silnou online přítomností. S novými funkcemi, které jsou ve vývoji, by se Noodlophile mohl vyvinout ve všestrannější a nebezpečnější hrozbu, která by v budoucnu mohla kombinovat špionáž, krádež přihlašovacích údajů a potenciálně i schopnosti podobné ransomwaru.
