Noodlophile Malware-kampagne
Cyberkriminelle bag Noodlophile-malwaren har ført en løbende kampagne rettet mod organisationer i USA, Europa, Baltikum og Asien-Stillehavsområdet. Ved at kombinere spear-phishing-taktikker med udviklende leveringsmekanismer sigter de mod at implementere et kraftfuldt informationstyveriværktøj, der fortsætter med at blive mere sofistikeret.
Indholdsfortegnelse
Spear-phishing med et twist
Kampagnen, der har været aktiv i over et år, har bevæget sig i retning af spear-phishing-e-mails forklædt som meddelelser om krænkelse af ophavsret. Disse e-mails er ikke generiske; angriberne skræddersyr dem ved hjælp af rekognosceringsdata såsom Facebook-side-ID'er og oplysninger om virksomhedsejerskab for at øge troværdigheden.
Tidligere bølger af Noodlophile-kampagnen , der blev afsløret i maj 2025, var baseret på falske AI-drevne værktøjer, der blev promoveret via sociale mediekanaler som Facebook. Nu markerer skiftet til ophavsretsrelaterede lokkemidler et nyt kapitel i dens udvikling. Det er værd at bemærke, at lignende strategier er set før: I november 2024 brugte en storstilet phishing-kampagne falske påstande om krænkelse af ophavsretten til at sprede Rhadamanthys Stealer.
Anatomi af angrebskæden
Den nuværende operation begynder med phishing-e-mails fra Gmail, der er designet til at omgå mistanke, samtidig med at det skaber hastende virkning omkring påståede krænkelser af ophavsretten. I e-mailen leverer et Dropbox-link enten en ZIP- eller MSI-fil. Når den er udført, sideloader dette installationsprogram en ondsindet DLL via legitime Haihaisoft PDF Reader-binære filer. Før Noodlophile-stealeren kører, bruges batch-scripts til at skabe persistens ved at ændre poster i Windows-registreringsdatabasen.
En særlig undvigende teknik involverer Telegram-gruppebeskrivelser, der fungerer som en 'dead drop-resolver', der peger ofrene mod den faktiske payload-server, der hostes på paste.rs. Denne metode komplicerer detektions- og fjernelsesindsatsen, samtidig med at den muliggør dynamisk payload-levering.
Undvigelsestaktikker udvikler sig
Byggende på tidligere kampagner, der udnyttede Base64-kodede arkiver og LOLBins som certutil.exe, tilføjer den nuværende iteration:
- Telegram-baserede kommando- og kontrolkanaler
- In-memory-udførelsesteknikker til at undgå diskbaseret detektion
Disse innovationer viser en stabil tendens mod mere sofistikerede undvigelsesmekanismer, hvilket gør traditionelle forsvar mindre effektive.
Nuodlophiles evner
Noodlophile er ikke bare en simpel stjæler, det er et værktøjssæt i konstant udvikling, der er designet til at udvinde en bred vifte af følsomme data. Aktuel analyse viser, at det kan:
- Udtræk browserdata og systemoplysninger.
- Indsaml virksomhedsrelaterede oplysninger om sociale medier, især fra Facebook.
Løbende kodeanalyse afslører, at udviklerne arbejder på at udvide funktionaliteten. Planlagte funktioner inkluderer skærmbilledeoptagelse, keylogging, filudvinding, procesovervågning, netværksrekognoscering, filkryptering og detaljeret udtrækning af browserhistorik.
En voksende virksomhedsrisiko
Kampagnens fokus på browser- og sociale mediedata fremhæver en bevidst strategi: at kompromittere virksomheder med en stærk online tilstedeværelse. Med nye funktioner under udvikling kan Noodlophile udvikle sig til en mere alsidig og farlig trussel, der kombinerer spionage, tyveri af legitimationsoplysninger og potentielt endda ransomware-lignende funktioner i fremtiden.
