„Noodlophile“ kenkėjiškų programų kampanija
Kibernetiniai nusikaltėliai, sukūrę „Noodlophile“ kenkėjišką programą, vykdo nuolatinę kampaniją, kurios taikiniais yra organizacijos JAV, Europoje, Baltijos šalyse ir Azijos bei Ramiojo vandenyno regione. Derindami tikslinės sukčiavimo taktiką su besivystančiais pristatymo mechanizmais, jie siekia panaudoti galingą informacijos vagystės įrankį, kuris tampa vis sudėtingesnis.
Turinys
Sukčiavimas sukčiavimu su netikėtumu
Jau daugiau nei metus vykdoma kampanija perėjo prie tikslinių sukčiavimo el. laiškų, užmaskuotų kaip pranešimai apie autorių teisių pažeidimus. Šie el. laiškai nėra bendro pobūdžio; užpuolikai juos pritaiko naudodami žvalgybos duomenis, tokius kaip „Facebook“ puslapių ID ir įmonių nuosavybės duomenis, kad padidintų patikimumą.
Ankstesnės „Noodlophile“ kampanijos bangos, atskleistos 2025 m. gegužę, rėmėsi netikromis dirbtinio intelekto valdomomis priemonėmis, reklamuojamomis per socialinės žiniasklaidos kanalus, tokius kaip „Facebook“. Dabar perėjimas prie su autorių teisėmis susijusių masalų žymi naują šios kampanijos evoliucijos skyrių. Pažymėtina, kad panašios strategijos jau buvo matytos anksčiau: 2024 m. lapkritį didelio masto sukčiavimo apsimetant kampanijos metu buvo panaudoti melagingi teiginiai apie autorių teisių pažeidimus, siekiant platinti „Rhadamanthys Stealer“.
Puolimo grandinės anatomija
Dabartinė operacija prasideda nuo „Gmail“ siunčiamų sukčiavimo el. laiškų, skirtų apeiti įtarimus ir kartu sukelti skubos jausmą dėl tariamų autorių teisių pažeidimų. El. laiške esanti „Dropbox“ nuoroda pateikia ZIP arba MSI failą. Paleidus šią diegimo programą, ji įkelia kenkėjišką DLL failą per teisėtus „Haihaisoft PDF Reader“ dvejetainius failus. Prieš paleidžiant „Noodlophile“ vagystę, paketiniai scenarijai naudojami nuolatinei apsaugai sukurti modifikuojant „Windows“ registro įrašus.
Ypač sudėtingas metodas apima „Telegram“ grupių aprašymus, kurie veikia kaip „dead drop“ sprendiklis, nukreipiantis aukas į tikrąjį naudingosios apkrovos serverį, esantį paste.rs. Šis metodas apsunkina aptikimą ir pašalinimą, tuo pačiu įgalinant dinaminį naudingosios apkrovos teikimą.
Evolution Tactics Besivystanti
Remiantis ankstesnėmis kampanijomis, kuriose buvo naudojami „Base64“ koduotais archyvai ir LOLBin, tokie kaip „certutil.exe“, dabartinė versija prideda:
- Telegramos pagrindu veikiantys komandų ir valdymo kanalai
- Atmintyje vykdomos technikos, skirtos išvengti diske esančio aptikimo
Šios naujovės rodo nuolatinę tendenciją link sudėtingesnių apsaugos nuo atakų mechanizmų, todėl tradicinės gynybos priemonės tampa mažiau veiksmingos.
„Noodlophile“ galimybės
„Noodlophile“ nėra paprastas duomenų vagys, tai nuolat tobulėjanti įrankių rinkinys, skirtas išgauti įvairius jautrius duomenis. Dabartinė analizė rodo, kad jis gali:
- Išskleisti naršyklės duomenis ir sistemos informaciją.
- Surinkite su įmone susijusią socialinės žiniasklaidos informaciją, ypač iš „Facebook“.
Nuolatinė kodo analizė rodo, kad kūrėjai dirba ties jo funkcionalumo plėtra. Planuojamos funkcijos apima ekrano kopijų fiksavimą, klavišų paspaudimų registravimą, failų išgavimą, procesų stebėjimą, tinklo žvalgybą, failų šifravimą ir išsamią naršymo istorijos išgavimą.
Didėjanti įmonės rizika
Kampanijos dėmesys naršyklių ir socialinių tinklų duomenims pabrėžia sąmoningą strategiją: pakenkti įmonėms, turinčioms stiprią įtaką internete. Kuriant naujas funkcijas, „Noodlophile“ gali tapti universalesne ir pavojingesne grėsme, ateityje apjungiančia šnipinėjimą, kredencialų vagystę ir galbūt net išpirkos reikalaujančias programas primenančias galimybes.
