Noodlophile Malware Campaign

مجرمان سایبری پشت بدافزار Noodlophile کمپینی مداوم را علیه سازمان‌هایی در ایالات متحده، اروپا، کشورهای حوزه بالتیک و منطقه آسیا و اقیانوسیه آغاز کرده‌اند. آن‌ها با ترکیب تاکتیک‌های فیشینگ هدفمند با مکانیسم‌های تحویل در حال تکامل، قصد دارند ابزاری قدرتمند برای سرقت اطلاعات به کار گیرند که همچنان در حال پیشرفت و پیچیده‌تر شدن است.

فیشینگ هدفمند با ترفندی جدید

این کمپین که بیش از یک سال فعال بوده، به سمت ایمیل‌های فیشینگ هدفمند که در پوشش اخطارهای نقض حق نشر منتشر می‌شوند، تغییر جهت داده است. این ایمیل‌ها عمومی نیستند؛ مهاجمان آنها را با استفاده از داده‌های شناسایی مانند شناسه‌های صفحات فیس‌بوک و جزئیات مالکیت شرکت، برای افزایش اعتبار، شخصی‌سازی می‌کنند.

موج‌های اولیه کمپین نودلوفیل که در ماه مه ۲۰۲۵ کشف شدند، به ابزارهای جعلی مبتنی بر هوش مصنوعی متکی بودند که از طریق کانال‌های رسانه‌های اجتماعی مانند فیس‌بوک تبلیغ می‌شدند. اکنون، تغییر به سمت فریب‌های مرتبط با حق چاپ، فصل جدیدی را در تکامل آن نشان می‌دهد. نکته قابل توجه این است که استراتژی‌های مشابهی قبلاً نیز دیده شده است: در نوامبر ۲۰۲۴، یک کمپین فیشینگ در مقیاس بزرگ از ادعاهای دروغین نقض حق چاپ برای پخش Rhadamanthys Stealer استفاده کرد.

آناتومی زنجیره حمله

عملیات فعلی با ایمیل‌های فیشینگ ارسالی از جی‌میل آغاز می‌شود که برای دور زدن سوءظن و القای فوریت در مورد نقض حق نشر ادعایی طراحی شده‌اند. در داخل ایمیل، یک لینک دراپ‌باکس یک فایل ZIP یا MSI را ارائه می‌دهد. پس از اجرا، این نصب‌کننده یک DLL مخرب را از طریق فایل‌های باینری قانونی Haihaisoft PDF Reader بارگذاری جانبی می‌کند. قبل از اجرای دزد Noodlephile، از اسکریپت‌های دسته‌ای برای ایجاد پایداری با تغییر ورودی‌های رجیستری ویندوز استفاده می‌شود.

یک تکنیک خاص برای فرار، شامل توضیحات گروه‌های تلگرامی است که به عنوان یک «حل‌کننده‌ی dead drop» عمل می‌کند تا قربانیان را به سمت سرور اصلیِ میزبان در paste.rs هدایت کند. این روش، تلاش‌های تشخیص و حذف را پیچیده می‌کند، در حالی که امکان تحویل پویای payload را فراهم می‌کند.

تاکتیک‌های فرار در حال تکامل

با تکیه بر کمپین‌های قبلی که از آرشیوهای کدگذاری شده با Base64 و LOLBinهایی مانند certutil.exe استفاده می‌کردند، نسخه فعلی موارد زیر را اضافه می‌کند:

• کانال‌های فرماندهی و کنترل مبتنی بر تلگرام
• تکنیک‌های اجرای درون حافظه برای جلوگیری از شناسایی مبتنی بر دیسک

این نوآوری‌ها روندی مداوم به سمت مکانیسم‌های گریز پیچیده‌تر را نشان می‌دهند که باعث می‌شود دفاع‌های سنتی کمتر مؤثر باشند.

قابلیت‌های نودلوفیل

نودلوفیل یک دزد ساده نیست، بلکه یک ابزار پیوسته در حال تکامل است که برای استخراج طیف وسیعی از داده‌های حساس طراحی شده است. تجزیه و تحلیل‌های فعلی نشان می‌دهد که می‌تواند:

• استخراج داده‌های مرورگر و اطلاعات سیستم.
• اطلاعات مربوط به رسانه‌های اجتماعی مرتبط با کسب و کار، به ویژه از فیس‌بوک را جمع‌آوری کنید.

تحلیل مداوم کد نشان می‌دهد که توسعه‌دهندگان در حال کار بر روی گسترش قابلیت‌های آن هستند. ویژگی‌های برنامه‌ریزی‌شده شامل ضبط اسکرین‌شات، ثبت کلیدهای فشرده‌شده، استخراج فایل، نظارت بر فرآیند، شناسایی شبکه، رمزگذاری فایل و استخراج دقیق تاریخچه مرورگر است.

ریسک رو به گسترش بنگاه‌های اقتصادی

تأکید این کمپین بر داده‌های مرورگر و رسانه‌های اجتماعی، یک استراتژی عمدی را برجسته می‌کند: به خطر انداختن شرکت‌هایی که حضور آنلاین قوی دارند. با توسعه‌ی قابلیت‌های جدید، Noodlophile می‌تواند به یک تهدید همه‌کاره‌تر و خطرناک‌تر تبدیل شود و در آینده، جاسوسی، سرقت اطلاعات کاربری و حتی قابلیت‌های بالقوه‌ی باج‌افزاری مانند را با هم ترکیب کند.