Noodlophile Malware Campaign
नूडलफाइल मैलवेयर के पीछे छिपे साइबर अपराधी अमेरिका, यूरोप, बाल्टिक देशों और एशिया-प्रशांत क्षेत्र के संगठनों को निशाना बनाकर लगातार अभियान चला रहे हैं। स्पीयर-फ़िशिंग रणनीतियों को विकसित होते वितरण तंत्रों के साथ जोड़कर, उनका लक्ष्य एक शक्तिशाली सूचना-चोरी उपकरण का इस्तेमाल करना है जो लगातार परिष्कृत होता जा रहा है।
विषयसूची
एक ट्विस्ट के साथ स्पीयर-फ़िशिंग
एक साल से भी ज़्यादा समय से चल रहा यह अभियान अब कॉपीराइट उल्लंघन नोटिस के नाम पर स्पीयर-फ़िशिंग ईमेल भेजने की ओर बढ़ गया है। ये ईमेल सामान्य नहीं होते; हमलावर विश्वसनीयता बढ़ाने के लिए फ़ेसबुक पेज आईडी और कंपनी के स्वामित्व संबंधी जानकारी जैसे जासूसी डेटा का इस्तेमाल करके इन्हें अपनी पसंद के अनुसार बनाते हैं।
मई 2025 में उजागर हुए नूडलफाइल अभियान के पहले के चरण, फेसबुक जैसे सोशल मीडिया चैनलों के माध्यम से प्रचारित नकली एआई-संचालित उपकरणों पर आधारित थे। अब, कॉपीराइट संबंधी प्रलोभनों की ओर बदलाव इसके विकास में एक नया अध्याय शुरू करता है। उल्लेखनीय है कि इसी तरह की रणनीतियाँ पहले भी देखी जा चुकी हैं: नवंबर 2024 में, एक बड़े पैमाने पर फ़िशिंग अभियान ने रादामंथिस स्टीलर को फैलाने के लिए झूठे कॉपीराइट उल्लंघन के दावों का इस्तेमाल किया था।
हमले की श्रृंखला की शारीरिक रचना
वर्तमान ऑपरेशन जीमेल-जनित फ़िशिंग ईमेल से शुरू होता है, जिसे कथित कॉपीराइट उल्लंघनों के बारे में गंभीरता बढ़ाते हुए संदेह को दरकिनार करने के लिए डिज़ाइन किया गया है। ईमेल के भीतर, एक ड्रॉपबॉक्स लिंक एक ज़िप या एमएसआई फ़ाइल भेजता है। एक बार निष्पादित होने के बाद, यह इंस्टॉलर वैध हाइहाईसॉफ्ट पीडीएफ रीडर बाइनरी के माध्यम से एक दुर्भावनापूर्ण DLL को साइडलोड करता है। नूडलफाइल चोर के चलने से पहले, बैच स्क्रिप्ट का उपयोग विंडोज रजिस्ट्री प्रविष्टियों को संशोधित करके दृढ़ता बनाने के लिए किया जाता है।
एक विशेष रूप से टालने वाली तकनीक में टेलीग्राम समूह विवरण शामिल हैं, जो पेस्ट.आरएस पर होस्ट किए गए वास्तविक पेलोड सर्वर की ओर पीड़ितों को इंगित करने के लिए 'डेड ड्रॉप रिज़ॉल्वर' के रूप में कार्य करते हैं। यह विधि गतिशील पेलोड वितरण को सक्षम करते हुए पता लगाने और हटाने के प्रयासों को जटिल बनाती है।
चोरी की रणनीति विकसित हो रही है
पहले के अभियानों के आधार पर, जिसमें बेस64-एन्कोडेड अभिलेखागार और certutil.exe जैसे LOLBins का लाभ उठाया गया था, वर्तमान संस्करण में निम्नलिखित जोड़ा गया है:
- टेलीग्राम-आधारित कमांड-एंड-कंट्रोल चैनल
- डिस्क-आधारित पहचान से बचने के लिए इन-मेमोरी निष्पादन तकनीकें
ये नवाचार अधिक परिष्कृत बचाव तंत्रों की ओर एक स्थिर प्रवृत्ति को दर्शाते हैं, जिससे पारंपरिक बचाव कम प्रभावी हो जाते हैं।
नूडलफाइल की क्षमताएं
नूडलफाइल कोई साधारण चोर नहीं है, यह एक निरंतर विकसित हो रहा टूलकिट है जिसे व्यापक स्तर पर संवेदनशील डेटा चुराने के लिए डिज़ाइन किया गया है। वर्तमान विश्लेषण से पता चलता है कि यह:
- ब्राउज़र डेटा और सिस्टम जानकारी निकालें.
- उद्यम से संबंधित सोशल मीडिया विवरण, विशेष रूप से फेसबुक से, एकत्रित करें।
चल रहे कोड विश्लेषण से पता चलता है कि डेवलपर्स इसकी कार्यक्षमता का विस्तार करने पर काम कर रहे हैं। नियोजित सुविधाओं में स्क्रीनशॉट कैप्चर, कीलॉगिंग, फ़ाइल एक्सफ़िल्टरेशन, प्रोसेस मॉनिटरिंग, नेटवर्क टोही, फ़ाइल एन्क्रिप्शन और विस्तृत ब्राउज़र इतिहास निष्कर्षण शामिल हैं।
बढ़ता उद्यम जोखिम
ब्राउज़र और सोशल मीडिया डेटा पर अभियान का ज़ोर एक सोची-समझी रणनीति को दर्शाता है: मज़बूत ऑनलाइन उपस्थिति वाले उद्यमों को खतरे में डालना। विकासाधीन नए कार्यों के साथ, नूडलफाइल एक ज़्यादा बहुमुखी और ख़तरनाक ख़तरा बन सकता है, जिसमें भविष्य में जासूसी, क्रेडेंशियल चोरी और संभवतः रैंसमवेयर जैसी क्षमताएँ भी शामिल हो सकती हैं।
