Noodlophile kampanja protiv zlonamjernog softvera
Kibernetički kriminalci koji stoje iza zlonamjernog softvera Noodlophile vode kontinuiranu kampanju usmjerenu na organizacije u SAD-u, Europi, baltičkim zemljama i azijsko-pacifičkoj regiji. Kombiniranjem taktika spear-phishinga s promjenjivim mehanizmima isporuke, cilj im je razviti moćan alat za krađu informacija koji nastavlja postajati sve sofisticiraniji.
Sadržaj
Spear-phishing s preokretom
Kampanja, aktivna više od godinu dana, preusmjerila se na spear-phishing e-poruke prikrivene kao obavijesti o kršenju autorskih prava. Ove e-poruke nisu generičke; napadači ih prilagođavaju koristeći podatke izviđanja poput ID-ova Facebook stranica i podataka o vlasništvu tvrtke kako bi povećali kredibilitet.
Raniji valovi kampanje Noodlophile , otkriveni u svibnju 2025., oslanjali su se na lažne alate pokretane umjetnom inteligencijom koji su se promovirali putem društvenih mreža poput Facebooka. Sada, prelazak na mamce povezane s autorskim pravima označava novo poglavlje u njezinoj evoluciji. Važno je napomenuti da su slične strategije već viđene: u studenom 2024., velika phishing kampanja koristila je lažne tvrdnje o kršenju autorskih prava za širenje Rhadamanthys Stealera.
Anatomija napadačkog lanca
Trenutna operacija započinje phishing e-porukama koje potiču iz Gmaila, a osmišljene su kako bi se zaobišla sumnja i istovremeno potaknula hitnost oko navodnih kršenja autorskih prava. Unutar e-poruke, Dropbox poveznica isporučuje ZIP ili MSI datoteku. Nakon izvršenja, ovaj instalacijski program učitava zlonamjerni DLL putem legitimnih binarnih datoteka Haihaisoft PDF Readera. Prije nego što se pokrene Noodlophile stealer, koriste se batch skripte za stvaranje trajnosti mijenjanjem unosa u Windows registru.
Posebno izbjegavajuća tehnika uključuje opise Telegram grupa, koji djeluju kao 'resolver skrivenih podataka' kako bi usmjerili žrtve prema stvarnom poslužitelju s korisnim podacima koji se nalazi na paste.rs. Ova metoda komplicira napore otkrivanja i uklanjanja, a istovremeno omogućuje dinamičku isporuku korisnog tereta.
Razvoj taktika izbjegavanja
Nadovezujući se na ranije kampanje koje su koristile Base64-kodirane arhive i LOLBin datoteke poput certutil.exe, trenutna iteracija dodaje:
- Kanali za zapovijedanje i upravljanje temeljeni na telegramu
- Tehnike izvršavanja u memoriji za izbjegavanje detekcije na disku
Ove inovacije pokazuju stalan trend prema sofisticiranijim mehanizmima izbjegavanja, čineći tradicionalne obrane manje učinkovitima.
Sposobnosti Noodlophila
Noodlophile nije jednostavan kradljivac podataka, već se radi o alatima koji se neprestano razvijaju, a osmišljeni su za krađu širokog raspona osjetljivih podataka. Trenutna analiza pokazuje da može:
- Izdvoji podatke preglednika i sistemske informacije.
- Prikupite podatke o društvenim mrežama povezanima s poduzećem, posebno s Facebooka.
Kontinuirana analiza koda otkriva da programeri rade na proširenju funkcionalnosti. Planirane značajke uključuju snimanje zaslona, keylogging, eksfiltraciju datoteka, praćenje procesa, izviđanje mreže, šifriranje datoteka i detaljno izdvajanje povijesti preglednika.
Rastući poduzetnički rizik
Naglasak kampanje na podacima preglednika i društvenih mreža ističe namjernu strategiju: kompromitirati poduzeća s jakom online prisutnošću. S novim funkcijama u razvoju, Noodlophile bi se mogao razviti u svestraniju i opasniju prijetnju, kombinirajući špijunažu, krađu vjerodajnica, pa čak i mogućnosti slične ransomwareu u budućnosti.
