Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Εκστρατεία κακόβουλου λογισμικού Noodlophile

Εκστρατεία κακόβουλου λογισμικού Noodlophile

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Οι κυβερνοεγκληματίες πίσω από το κακόβουλο λογισμικό Noodlophile διεξάγουν μια συνεχή εκστρατεία που στοχεύει οργανισμούς στις ΗΠΑ, την Ευρώπη, τις χώρες της Βαλτικής και την περιοχή Ασίας-Ειρηνικού. Συνδυάζοντας τακτικές spear-phishing με εξελισσόμενους μηχανισμούς παράδοσης, στοχεύουν στην ανάπτυξη ενός ισχυρού εργαλείου κλοπής πληροφοριών που συνεχίζει να εξελίσσεται σε επίπεδο πολυπλοκότητας.

Ψάρεμα με δόρυ με μια ανατροπή

Η καμπάνια, η οποία είναι ενεργή εδώ και πάνω από ένα χρόνο, έχει στραφεί σε email spear-phishing που μεταμφιέζονται σε ειδοποιήσεις παραβίασης πνευματικών δικαιωμάτων. Αυτά τα email δεν είναι γενικά. Οι επιτιθέμενοι τα προσαρμόζουν χρησιμοποιώντας δεδομένα αναγνώρισης, όπως αναγνωριστικά σελίδων στο Facebook και στοιχεία ιδιοκτησίας εταιρειών, για να αυξήσουν την αξιοπιστία τους.

Τα προηγούμενα κύματα της καμπάνιας Noodlophile , που αποκαλύφθηκαν τον Μάιο του 2025, βασίζονταν σε ψεύτικα εργαλεία με τεχνητή νοημοσύνη που προωθούνταν μέσω καναλιών κοινωνικής δικτύωσης όπως το Facebook. Τώρα, η στροφή σε δολώματα που σχετίζονται με πνευματικά δικαιώματα σηματοδοτεί ένα νέο κεφάλαιο στην εξέλιξή της. Αξίζει να σημειωθεί ότι παρόμοιες στρατηγικές έχουν παρατηρηθεί στο παρελθόν: τον Νοέμβριο του 2024, μια μεγάλης κλίμακας καμπάνια ηλεκτρονικού "ψαρέματος" χρησιμοποίησε ψευδείς ισχυρισμούς για παραβίαση πνευματικών δικαιωμάτων για να διαδώσει τον Rhadamanthys Stealer.

Ανατομία της Αλυσίδας Επίθεσης

Η τρέχουσα λειτουργία ξεκινά με email ηλεκτρονικού "ψαρέματος" (phishing) που προέρχονται από το Gmail, τα οποία έχουν σχεδιαστεί για να παρακάμπτουν τις υποψίες, ενώ παράλληλα ενσταλάζουν την επείγουσα ανάγκη για φερόμενες παραβιάσεις πνευματικών δικαιωμάτων. Μέσα στο email, ένας σύνδεσμος Dropbox παραδίδει είτε ένα αρχείο ZIP είτε ένα αρχείο MSI. Μόλις εκτελεστεί, αυτό το πρόγραμμα εγκατάστασης φορτώνει ένα κακόβουλο DLL μέσω νόμιμων δυαδικών αρχείων Haihaisoft PDF Reader. Πριν από την εκτέλεση του κλέφτη Noodlophile, χρησιμοποιούνται δέσμες σεναρίων για τη δημιουργία persistence τροποποιώντας τις καταχωρήσεις μητρώου των Windows.

Μια ιδιαίτερα εύστοχη τεχνική περιλαμβάνει τις περιγραφές ομάδων στο Telegram, οι οποίες λειτουργούν ως «dead drop resolver» για να κατευθύνουν τα θύματα προς τον πραγματικό διακομιστή ωφέλιμου φορτίου που φιλοξενείται στο paste.rs. Αυτή η μέθοδος περιπλέκει τις προσπάθειες ανίχνευσης και κατάργησης, ενώ παράλληλα επιτρέπει τη δυναμική παράδοση ωφέλιμου φορτίου.

Τακτικές αποφυγής σε εξέλιξη

Βασιζόμενη σε προηγούμενες καμπάνιες που αξιοποίησαν αρχεία με κωδικοποίηση Base64 και LOLBins όπως το certutil.exe, η τρέχουσα έκδοση προσθέτει:

  • Κανάλια εντολών και ελέγχου που βασίζονται στο Telegram
  • Τεχνικές εκτέλεσης εντός μνήμης για την αποφυγή ανίχνευσης που βασίζεται σε δίσκο

Αυτές οι καινοτομίες καταδεικνύουν μια σταθερή τάση προς πιο εξελιγμένους μηχανισμούς αποφυγής, καθιστώντας τις παραδοσιακές άμυνες λιγότερο αποτελεσματικές.

Δυνατότητες του Noodlophile

Το Noodlophile δεν είναι ένας απλός κλέφτης, είναι ένα συνεχώς εξελισσόμενο σύνολο εργαλείων που έχει σχεδιαστεί για να αποσπά ένα ευρύ φάσμα ευαίσθητων δεδομένων. Η τρέχουσα ανάλυση δείχνει ότι μπορεί:

  • Εξαγωγή δεδομένων προγράμματος περιήγησης και πληροφοριών συστήματος.
  • Συγκεντρώστε στοιχεία κοινωνικής δικτύωσης που σχετίζονται με επιχειρήσεις, ιδίως από το Facebook.

Η συνεχιζόμενη ανάλυση κώδικα αποκαλύπτει ότι οι προγραμματιστές εργάζονται για την επέκταση της λειτουργικότητάς του. Οι προγραμματισμένες λειτουργίες περιλαμβάνουν καταγραφή στιγμιότυπων οθόνης, καταγραφή κλειδιών, εξαγωγή αρχείων, παρακολούθηση διεργασιών, αναγνώριση δικτύου, κρυπτογράφηση αρχείων και λεπτομερή εξαγωγή ιστορικού προγράμματος περιήγησης.

Ένας διευρυνόμενος επιχειρηματικός κίνδυνος

Η έμφαση της καμπάνιας στα δεδομένα του προγράμματος περιήγησης και των μέσων κοινωνικής δικτύωσης υπογραμμίζει μια σκόπιμη στρατηγική: να θέσει σε κίνδυνο επιχειρήσεις με ισχυρή διαδικτυακή παρουσία. Με νέες λειτουργίες υπό ανάπτυξη, το Noodlophile θα μπορούσε να εξελιχθεί σε μια πιο ευέλικτη και επικίνδυνη απειλή, συνδυάζοντας κατασκοπεία, κλοπή διαπιστευτηρίων και ενδεχομένως ακόμη και δυνατότητες παρόμοιες με ransomware στο μέλλον.

Τάσεις

Απάτη μέσω email με αίτημα επικύρωσης λογαριασμού

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες βελτιώνουν συνεχώς τις μεθόδους τους για να κλέβουν ευαίσθητες πληροφορίες και μια τέτοια τακτική περιλαμβάνει την δόλια απάτη μέσω email με τίτλο «Αίτημα Επικύρωσης Λογαριασμού». Αυτά τα παραπλανητικά μηνύματα δεν συνδέονται με καμία νόμιμη εταιρεία, πάροχο υπηρεσιών ή οργανισμό. Αντίθετα, στοχεύουν να εξαπατήσουν τους ανυποψίαστους χρήστες ώστε να δώσουν προσωπικά...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,069
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...