Noodlophile-haittaohjelmakampanja
Noodlophile-haittaohjelman takana olevat kyberrikolliset ovat käyneet jatkuvaa kampanjaa, jonka kohteena ovat organisaatiot Yhdysvalloissa, Euroopassa, Baltian maissa ja Aasian ja Tyynenmeren alueella. Yhdistämällä tietojenkalastelutaktiikoita kehittyviin jakelumekanismeihin he pyrkivät ottamaan käyttöön tehokkaan ja jatkuvasti kehittyvän tiedonvarastustyökalun.
Sisällysluettelo
Keihäshuijaus twistillä
Yli vuoden ajan käynnissä ollut kampanja on siirtynyt tekijänoikeusrikkomusilmoituksiksi naamioituihin tietojenkalastelusähköposteihin. Nämä sähköpostit eivät ole geneerisiä; hyökkääjät räätälöivät niitä käyttämällä tiedustelutietoja, kuten Facebook-sivujen tunnuksia ja yritysten omistustietoja, uskottavuuden lisäämiseksi.
Toukokuussa 2025 paljastuneet Noodlophile-kampanjan aiemmat aallot perustuivat väärennettyihin tekoälypohjaisiin työkaluihin, joita mainostettiin sosiaalisen median kanavissa, kuten Facebookissa. Nyt siirtyminen tekijänoikeuksiin liittyviin houkuttimiin merkitsee uutta lukua kampanjan kehityksessä. Huomionarvoista on, että vastaavia strategioita on nähty aiemminkin: marraskuussa 2024 laajamittaisessa tietojenkalastelukampanjassa käytettiin vääriä tekijänoikeusrikkomusväitteitä Rhadamanthys Stealerin levittämiseen.
Hyökkäysketjun anatomia
Nykyinen operaatio alkaa Gmailista lähetetyillä tietojenkalasteluviesteillä, joiden tarkoituksena on ohittaa epäilykset ja samalla luoda kiireellisyyttä väitetyistä tekijänoikeusrikkomuksista. Sähköpostissa oleva Dropbox-linkki toimittaa joko ZIP- tai MSI-tiedoston. Suoritettuaan asennusohjelman se lataa haitallisen DLL-tiedoston laillisten Haihaisoft PDF Readerin binääritiedostojen kautta. Ennen Noodlophile-varastajien suorittamista eräajokomentosarjoja käytetään pysyvyyden luomiseen muokkaamalla Windowsin rekisterimerkintöjä.
Erityisen välttelevä tekniikka on Telegram-ryhmäkuvaukset, jotka toimivat "kuolleen pudotuksen ratkaisijana" ja ohjaavat uhrit varsinaiselle paste.rs-palvelimelle. Tämä menetelmä monimutkaistaa havaitsemista ja poistamista, mutta mahdollistaa dynaamisen hyötykuormien toimituksen.
Väistötaktiikat kehittyvät
Aiempien Base64-koodattuja arkistoja ja LOLBin-tiedostoja, kuten certutil.exe, hyödyntävien kampanjoiden pohjalta nykyinen versio lisää:
- Telegram-pohjaiset komento- ja ohjauskanavat
- Muistissa suoritettavat suoritustekniikat levypohjaisen havaitsemisen välttämiseksi
Nämä innovaatiot osoittavat tasaista trendiä kohti kehittyneempiä väistömekanismeja, mikä tekee perinteisistä puolustuskeinoista vähemmän tehokkaita.
Noodlophilen ominaisuudet
Noodlophile ei ole yksinkertainen varastaja, vaan jatkuvasti kehittyvä työkalupakki, joka on suunniteltu vuotamaan laajan kirjon arkaluonteisia tietoja. Nykyanalyysi osoittaa, että se voi:
- Pura selaintiedot ja järjestelmätiedot.
- Kerää yritykseen liittyviä sosiaalisen median tietoja, erityisesti Facebookista.
Jatkuva koodianalyysi paljastaa, että kehittäjät työskentelevät sen toiminnallisuuden laajentamiseksi. Suunniteltuihin ominaisuuksiin kuuluvat kuvakaappausten ottaminen, näppäinpainallusten tallentaminen, tiedostojen vuotaminen, prosessien valvonta, verkon tiedustelu, tiedostojen salaus ja yksityiskohtainen selaushistorian poiminta.
Laajeneva yritysriski
Kampanjan painotus selain- ja sosiaalisen median dataan korostaa harkittua strategiaa: vaarantaa yrityksiä, joilla on vahva läsnäolo verkossa. Uusien kehitteillä olevien toimintojen myötä Noodlophile voi kehittyä monipuolisemmaksi ja vaarallisemmaksi uhaksi, joka yhdistää vakoilun, tunnistetietojen varastamisen ja mahdollisesti jopa kiristysohjelmien kaltaiset ominaisuudet tulevaisuudessa.
