Noodlophile ļaunprogrammatūras kampaņa
Kibernoziedznieki, kas slēpj Noodlophile ļaunprogrammatūru, turpina īstenot kampaņu, kuras mērķauditorija ir organizācijas ASV, Eiropā, Baltijas valstīs un Āzijas un Klusā okeāna reģionā. Apvienojot mērķtiecīgas pikšķerēšanas taktiku ar attīstītiem piegādes mehānismiem, viņi cenšas ieviest jaudīgu informācijas zādzības rīku, kas turpina kļūt arvien sarežģītāks.
Satura rādītājs
Šķēpa pikšķerēšana ar nelielu pavērsienu
Kampaņa, kas norisinās jau vairāk nekā gadu, ir pārgājusi uz mērķtiecīgiem pikšķerēšanas e-pastiem, kas maskēti kā autortiesību pārkāpumu paziņojumi. Šie e-pasti nav vispārīgi; uzbrucēji tos pielāgo, izmantojot izlūkošanas datus, piemēram, Facebook lapu ID un uzņēmuma īpašumtiesību informāciju, lai palielinātu ticamību.
Iepriekšējie Noodlophile kampaņas viļņi, kas tika atklāti 2025. gada maijā, balstījās uz viltotiem mākslīgā intelekta darbinātiem rīkiem, kas tika reklamēti sociālo mediju kanālos, piemēram, Facebook. Tagad pāreja uz ar autortiesībām saistītiem ēsmām iezīmē jaunu nodaļu tās evolūcijā. Jāatzīmē, ka līdzīgas stratēģijas ir redzētas iepriekš: 2024. gada novembrī plaša mēroga pikšķerēšanas kampaņā tika izmantoti nepatiesi apgalvojumi par autortiesību pārkāpumiem, lai izplatītu Rhadamanthys Stealer.
Uzbrukuma ķēdes anatomija
Pašreizējā operācija sākas ar no Gmail nosūtītiem pikšķerēšanas e-pastiem, kas paredzēti, lai apietu aizdomas, vienlaikus radot steidzamību saistībā ar iespējamiem autortiesību pārkāpumiem. E-pastā Dropbox saite nodrošina vai nu ZIP, vai MSI failu. Pēc izpildes šis instalētājs sānielādē ļaunprātīgu DLL failu, izmantojot likumīgus Haihaisoft PDF Reader bināros failus. Pirms Noodlophile zagļa palaišanas tiek izmantoti pakešskripti, lai izveidotu pastāvīgu piekļuvi, modificējot Windows reģistra ierakstus.
Īpaši izvairīga metode ietver Telegram grupu aprakstus, kas darbojas kā "mirušo datu atrisinātājs", lai norādītu upuriem uz faktisko vērtuma serveri, kas mitināts paste.rs. Šī metode sarežģī atklāšanas un noņemšanas centienus, vienlaikus nodrošinot dinamisko vērtuma piegādi.
Izvairīšanās taktika attīstās
Balstoties uz iepriekšējām kampaņām, kas izmantoja Base64 kodētus arhīvus un LOLBins, piemēram, certutil.exe, pašreizējā versijā ir pievienots:
- Telegrammas balstīti komandu un kontroles kanāli
- Atmiņā esošās izpildes metodes, lai izvairītos no atklāšanas diskā
Šie jauninājumi liecina par pastāvīgu tendenci uz sarežģītākiem krāpšanas mehānismiem, padarot tradicionālās aizsardzības mazāk efektīvas.
Noodlophile spējas
Noodlophile nav vienkāršs zaglis, tas ir nepārtraukti mainīgs rīku komplekts, kas paredzēts plaša spektra sensitīvu datu izvilkšanai. Pašreizējā analīze liecina, ka tas var:
- Izvilkt pārlūkprogrammas datus un sistēmas informāciju.
- Apkopojiet ar uzņēmumu saistītu sociālo mediju informāciju, jo īpaši no Facebook.
Pastāvīgā koda analīze atklāj, ka izstrādātāji strādā pie tā funkcionalitātes paplašināšanas. Plānotās funkcijas ietver ekrānuzņēmumu uzņemšanu, taustiņu nospiešanas fiksēšanu, failu eksfiltrāciju, procesu uzraudzību, tīkla izlūkošanu, failu šifrēšanu un detalizētu pārlūkošanas vēstures izgūšanu.
Paplašināts uzņēmuma risks
Kampaņas uzsvars uz pārlūkprogrammu un sociālo mediju datiem izceļ apzinātu stratēģiju: apdraudēt uzņēmumus ar spēcīgu klātbūtni tiešsaistē. Izstrādājot jaunas funkcijas, Noodlophile varētu attīstīties par daudzpusīgāku un bīstamāku apdraudējumu, apvienojot spiegošanu, akreditācijas datu zādzības un, iespējams, pat izspiedējvīrusiem līdzīgas iespējas nākotnē.
