Noodlophile kártevő kampány
A Noodlophile kártevő mögött álló kiberbűnözők folyamatos kampányt folytatnak az Egyesült Államokban, Európában, a balti államokban és az ázsiai-csendes-óceáni térségben működő szervezetek ellen. A célzott adathalász taktikák és a folyamatosan fejlődő kézbesítési mechanizmusok ötvözésével egy hatékony, egyre kifinomultabb információlopó eszközt kívánnak bevetni.
Tartalomjegyzék
Lándzsás adathalászat egy csavarral
A több mint egy éve aktív kampány a szerzői jogsértési értesítéseknek álcázott célzott adathalász e-mailek felé fordult. Ezek az e-mailek nem általánosak; a támadók felderítő adatok, például Facebook-oldalazonosítók és cégtulajdonosi adatok felhasználásával szabják testre őket a hitelesség növelése érdekében.
A Noodlophile kampány korábbi hullámai, amelyeket 2025 májusában lepleztek le, hamis, mesterséges intelligenciával vezérelt eszközökre támaszkodtak, amelyeket közösségi média csatornákon, például a Facebookon keresztül népszerűsítettek. Most a szerzői joggal kapcsolatos csalik felé való elmozdulás új fejezetet nyit a kampány fejlődésében. Figyelemre méltó, hogy hasonló stratégiákat már korábban is láttak: 2024 novemberében egy nagyszabású adathalász kampány hamis szerzői jogi állításokat használt fel a Rhadamanthys Stealer terjesztésére.
A támadási lánc anatómiája
A jelenlegi művelet Gmailből származó adathalász e-mailekkel kezdődik, amelyek célja a gyanú megkerülése, miközben sürgetik az állítólagos szerzői jogi jogsértéseket. Az e-mailben egy Dropbox link egy ZIP vagy MSI fájlt tartalmaz. A futtatás után a telepítő egy rosszindulatú DLL-t tölt be legitim Haihaisoft PDF Reader binárisokon keresztül. Mielőtt a Noodlophile lopó lefutna, kötegelt szkripteket használnak a fájlok tartósságának növelésére a Windows rendszerleíró bejegyzéseinek módosításával.
Egy különösen kitérő technika a Telegram csoportleírások használata, amelyek „holtpont-feloldóként” működnek, hogy az áldozatokat a paste.rs-en található tényleges hasznos adatkiszolgálóhoz irányítsák. Ez a módszer bonyolítja az észlelési és eltávolítási erőfeszítéseket, miközben lehetővé teszi a dinamikus hasznos adattovábbítást.
Kitérési taktikák fejlődése
A korábbi, Base64 kódolású archívumokat és LOLBin-eket, például a certutil.exe-t használó kampányokra építve a jelenlegi verzió a következőket egészíti ki:
- Telegram-alapú parancs- és irányítási csatornák
- Memórián belüli végrehajtási technikák a lemezalapú észlelés elkerülésére
Ezek az újítások a kifinomultabb kibúvó mechanizmusok felé mutató állandó tendenciát mutatnak, ami a hagyományos védekezést kevésbé hatékonnyá teszi.
A Noodlophile képességei
A Noodlophile nem egy egyszerű adatlopó, hanem egy folyamatosan fejlődő eszközkészlet, amelyet arra terveztek, hogy széles körű érzékeny adatokat szivárogtasson ki. A jelenlegi elemzések azt mutatják, hogy képes:
- Böngészőadatok és rendszerinformációk kinyerése.
- Vállalattal kapcsolatos közösségi médiaadatok gyűjtése, különösen a Facebookról.
A folyamatban lévő kódelemzésből kiderül, hogy a fejlesztők a funkcionalitás bővítésén dolgoznak. A tervezett funkciók között szerepel a képernyőképek rögzítése, billentyűleütés-naplózás, fájl-ellopás, folyamatfigyelés, hálózati felderítés, fájltitkosítás és a böngészési előzmények részletes kinyerése.
Növekvő vállalati kockázat
A kampány böngésző- és közösségi médiaadatokra helyezett hangsúlya egy tudatos stratégiát mutat rá: az erős online jelenléttel rendelkező vállalatok veszélyeztetését. Az új fejlesztés alatt álló funkciókkal a Noodlophile sokoldalúbb és veszélyesebb fenyegetéssé válhat, amely a kémkedést, a hitelesítő adatok ellopását és a jövőben potenciálisan zsarolóvírus-szerű képességeket is ötvözhet.
