Campagna malware Noodlophile
I criminali informatici dietro il malware Noodlophile stanno conducendo una campagna continuativa contro organizzazioni negli Stati Uniti, in Europa, nei Paesi Baltici e nella regione Asia-Pacifico. Combinando tattiche di spear-phishing con meccanismi di distribuzione in continua evoluzione, mirano a implementare un potente strumento di furto di informazioni che continua a crescere in termini di sofisticatezza.
Sommario
Spear-phishing con un tocco in più
La campagna, attiva da oltre un anno, si è spostata verso email di spear-phishing camuffate da avvisi di violazione del copyright. Queste email non sono generiche; gli aggressori le personalizzano utilizzando dati di ricognizione come gli ID delle pagine Facebook e i dettagli della proprietà aziendale per aumentarne la credibilità.
Le prime ondate della campagna Noodlophile , scoperte nel maggio 2025, si basavano su falsi strumenti basati sull'intelligenza artificiale, promossi attraverso canali social come Facebook. Ora, il passaggio a esche legate al copyright segna un nuovo capitolo nella sua evoluzione. In particolare, strategie simili sono già state osservate in precedenza: nel novembre 2024, una campagna di phishing su larga scala ha utilizzato false affermazioni di violazione del copyright per diffondere il Rhadamanthys Stealer.
Anatomia della catena di attacco
L'operazione attuale inizia con email di phishing provenienti da Gmail, progettate per aggirare i sospetti e instillare urgenza in merito a presunte violazioni del copyright. All'interno dell'email, un collegamento a Dropbox fornisce un file ZIP o MSI. Una volta eseguito, questo programma di installazione carica lateralmente una DLL dannosa tramite i binari legittimi di Haihaisoft PDF Reader. Prima dell'esecuzione del ladro Noodlophile, vengono utilizzati script batch per creare persistenza modificando le voci del Registro di sistema di Windows.
Una tecnica particolarmente elusiva prevede l'uso delle descrizioni dei gruppi Telegram, che fungono da "dead drop resolver" per indirizzare le vittime verso il server del payload effettivo ospitato su paste.rs. Questo metodo complica le attività di rilevamento e rimozione, consentendo al contempo la distribuzione dinamica del payload.
Evoluzione delle tattiche di evasione
Basandosi sulle campagne precedenti che sfruttavano archivi codificati in Base64 e LOLBin come certutil.exe, l'iterazione attuale aggiunge:
- Canali di comando e controllo basati su Telegram
- Tecniche di esecuzione in memoria per eludere il rilevamento basato su disco
Queste innovazioni evidenziano una tendenza costante verso meccanismi di evasione più sofisticati, rendendo le difese tradizionali meno efficaci.
Capacità di Noodlophile
Noodlophile non è un semplice ladro, è un toolkit in continua evoluzione progettato per esfiltrare un'ampia gamma di dati sensibili. Le analisi attuali dimostrano che può:
- Estrarre dati del browser e informazioni di sistema.
- Raccogliere informazioni sui social media relativi all'azienda, in particolare da Facebook.
L'analisi continua del codice rivela che gli sviluppatori stanno lavorando per ampliarne le funzionalità. Le funzionalità previste includono l'acquisizione di screenshot, il keylogging, l'esfiltrazione di file, il monitoraggio dei processi, la ricognizione di rete, la crittografia dei file e l'estrazione dettagliata della cronologia del browser.
Un rischio aziendale in crescita
L'enfasi della campagna sui dati dei browser e dei social media evidenzia una strategia deliberata: compromettere le aziende con una forte presenza online. Con nuove funzionalità in fase di sviluppo, Noodlophile potrebbe evolversi in una minaccia più versatile e pericolosa, combinando spionaggio, furto di credenziali e potenzialmente persino capacità simili a quelle dei ransomware in futuro.
