Noodlophile-kampanje for skadelig programvare
Nettkriminelle bak skadevaren Noodlophile har ført en pågående kampanje rettet mot organisasjoner i USA, Europa, Baltikum og Asia-Stillehavsregionen. Ved å kombinere spear-phishing-taktikker med utviklende leveringsmekanismer, tar de sikte på å distribuere et kraftig verktøy for informasjonstyveri som fortsetter å bli mer sofistikert.
Innholdsfortegnelse
Spear-phishing med en vri
Kampanjen, som har vært aktiv i over et år, har gått over til spear-phishing-e-poster forkledd som varsler om brudd på opphavsretten. Disse e-postene er ikke generiske; angriperne skreddersyr dem ved hjelp av rekognoseringsdata som Facebook-side-ID-er og selskapseierskapsdetaljer for å øke troverdigheten.
Tidligere bølger av Noodlophile-kampanjen , avdekket i mai 2025, var basert på falske AI-drevne verktøy promotert gjennom sosiale mediekanaler som Facebook. Nå markerer overgangen til opphavsrettsrelaterte lokkemidler et nytt kapittel i utviklingen. Det er verdt å merke seg at lignende strategier har blitt sett før: i november 2024 brukte en storstilt phishing-kampanje falske påstander om brudd på opphavsretten for å spre Rhadamanthys Stealer.
Anatomien til angrepskjeden
Den nåværende operasjonen starter med phishing-e-poster fra Gmail, designet for å omgå mistanke samtidig som det skaper hastverk rundt påståtte brudd på opphavsretten. Inne i e-posten leverer en Dropbox-lenke enten en ZIP- eller MSI-fil. Når den er utført, sidelaster dette installasjonsprogrammet en ondsinnet DLL gjennom legitime Haihaisoft PDF Reader-binærfiler. Før Noodlophile-styveren kjører, brukes batch-skript for å skape persistens ved å endre Windows-registeroppføringer.
En spesielt unnvikende teknikk involverer Telegram-gruppebeskrivelser, som fungerer som en «dead drop resolver» for å peke ofre mot den faktiske nyttelastserveren som ligger på paste.rs. Denne metoden kompliserer deteksjons- og fjerningsarbeidet samtidig som den muliggjør dynamisk levering av nyttelast.
Unnvikelsestaktikker i utvikling
Byggende på tidligere kampanjer som utnyttet Base64-kodede arkiver og LOLBins som certutil.exe, legger den nåværende iterasjonen til:
- Telegram-baserte kommando- og kontrollkanaler
- Utførelsesteknikker i minnet for å unngå diskbasert deteksjon
Disse innovasjonene viser en jevn trend mot mer sofistikerte unnvikelsesmekanismer, noe som gjør tradisjonelle forsvar mindre effektive.
Evner til Noodlophile
Noodlophile er ikke bare en enkel tyveritjeneste, det er et verktøysett i stadig utvikling som er utformet for å utvinne et bredt spekter av sensitive data. Nåværende analyser viser at den kan:
- Hent ut nettleserdata og systeminformasjon.
- Samle inn bedriftsrelatert informasjon om sosiale medier, spesielt fra Facebook.
Løpende kodeanalyse avslører at utviklerne jobber med å utvide funksjonaliteten. Planlagte funksjoner inkluderer skjermbildeopptak, tastelogging, filutvinning, prosessovervåking, nettverksrekognosering, filkryptering og detaljert utvinning av nettleserhistorikk.
En økende bedriftsrisiko
Kampanjens vekt på nettleser- og sosiale mediedata fremhever en bevisst strategi: å kompromittere bedrifter med en sterk tilstedeværelse på nett. Med nye funksjoner under utvikling kan Noodlophile utvikle seg til en mer allsidig og farlig trussel, som kombinerer spionasje, legitimasjonstyveri og potensielt til og med ransomware-lignende funksjoner i fremtiden.
