Kempen Malware Nodlophile
Penjenayah siber di sebalik perisian hasad Nodlophile telah melancarkan kempen berterusan yang menyasarkan organisasi di AS, Eropah, Baltik dan rantau Asia-Pasifik. Dengan menggabungkan taktik pancingan lembing dengan mekanisme penghantaran yang berkembang, mereka menyasarkan untuk menggunakan alat mencuri maklumat yang berkuasa yang terus berkembang dalam kecanggihan.
Isi kandungan
Spear-Phishing dengan Twist
Kempen ini, aktif selama lebih setahun, telah beralih ke e-mel pancingan lembing yang menyamar sebagai notis pelanggaran hak cipta. E-mel ini bukan generik; penyerang menyesuaikan mereka menggunakan data peninjauan seperti ID Halaman Facebook dan butiran pemilikan syarikat untuk meningkatkan kredibiliti.
Gelombang awal kempen Nodlophile , yang ditemui pada Mei 2025, bergantung pada alat berkuasa AI palsu yang dipromosikan melalui saluran media sosial seperti Facebook. Kini, peralihan kepada gewang berkaitan hak cipta menandakan babak baharu dalam evolusinya. Terutama, strategi serupa telah dilihat sebelum ini: pada November 2024, kempen pancingan data berskala besar menggunakan tuntutan pelanggaran hak cipta palsu untuk menyebarkan Rhadamanthys Stealer.
Anatomi Rantaian Serangan
Operasi semasa bermula dengan e-mel pancingan data yang berasal dari Gmail, yang direka untuk memintas syak wasangka sambil menyemai keperluan mendesak di sekitar dakwaan pelanggaran hak cipta. Dalam e-mel, pautan Dropbox menghantar sama ada fail ZIP atau MSI. Setelah dilaksanakan, pemasang ini memuatkan DLL berniat jahat melalui binari Pembaca PDF Haihaisoft yang sah. Sebelum pencuri Nodlophile dijalankan, skrip kelompok digunakan untuk mencipta kegigihan dengan mengubah suai entri Windows Registry.
Teknik mengelak terutamanya melibatkan perihalan kumpulan Telegram, yang bertindak sebagai 'penyelesaikan mati' untuk mengarahkan mangsa ke arah pelayan muatan sebenar yang dihoskan pada paste.rs. Kaedah ini merumitkan usaha pengesanan dan alih keluar sambil mendayakan penghantaran muatan dinamik.
Taktik Pengelakan Berkembang
Membina kempen terdahulu yang memanfaatkan arkib dan LOLB berkod Base64 seperti certutil.exe, lelaran semasa menambah:
- Saluran arahan dan kawalan berasaskan Telegram
- Teknik pelaksanaan dalam ingatan untuk mengelak pengesanan berasaskan cakera
Inovasi ini mempamerkan trend yang stabil ke arah mekanisme pengelakan yang lebih canggih, menjadikan pertahanan tradisional kurang berkesan.
Keupayaan Nodlophile
Nodlophile bukan pencuri yang mudah, ia adalah kit alat yang terus berkembang yang direka untuk mengekstrak pelbagai data sensitif. Analisis semasa menunjukkan ia boleh:
- Ekstrak data pelayar dan maklumat sistem.
- Tuai butiran media sosial berkaitan perusahaan, terutamanya daripada Facebook.
Analisis kod yang berterusan mendedahkan bahawa pembangun sedang berusaha untuk mengembangkan fungsinya. Ciri yang dirancang termasuk tangkapan tangkapan skrin, pengelogan kunci, exfiltration fail, pemantauan proses, peninjauan rangkaian, penyulitan fail dan pengekstrakan sejarah penyemak imbas terperinci.
Risiko Perusahaan Yang Meluaskan
Penekanan kempen pada pelayar dan data media sosial menyerlahkan strategi yang disengajakan: untuk menjejaskan perusahaan dengan kehadiran dalam talian yang kukuh. Dengan fungsi baharu yang sedang dibangunkan, Nodlophile boleh berubah menjadi ancaman yang lebih serba boleh dan berbahaya, menggabungkan pengintipan, kecurian bukti kelayakan, malah berpotensi seperti perisian tebusan pada masa hadapan.
