Noodlophile Malware Campaign
नूडलोफाइल मालवेयर पछाडि साइबर अपराधीहरूले अमेरिका, युरोप, बाल्टिक र एसिया-प्रशान्त क्षेत्रका संस्थाहरूलाई लक्षित गर्दै निरन्तर अभियान चलाइरहेका छन्। विकसित डेलिभरी संयन्त्रहरूसँग भाला-फिसिङ रणनीतिहरू संयोजन गरेर, तिनीहरूले परिष्कृत रूपमा बढ्दै जाने शक्तिशाली जानकारी-चोरी उपकरण तैनाथ गर्ने लक्ष्य राखेका छन्।
सामग्रीको तालिका
स्पियर-फिसिङ विथ अ ट्विस्ट
एक वर्षभन्दा बढी समयदेखि सक्रिय यो अभियान प्रतिलिपि अधिकार उल्लङ्घन सूचनाको रूपमा लुकेका स्पियर-फिसिङ इमेलहरू तर्फ सरेको छ। यी इमेलहरू सामान्य होइनन्; आक्रमणकारीहरूले विश्वसनीयता बढाउन फेसबुक पेज आईडीहरू र कम्पनी स्वामित्व विवरणहरू जस्ता जासूसी डेटा प्रयोग गरेर तिनीहरूलाई अनुकूलित गर्छन्।
मे २०२५ मा पर्दाफास भएको नूडलोफाइल अभियानका पहिलेका लहरहरू फेसबुक जस्ता सामाजिक सञ्जाल च्यानलहरू मार्फत प्रचारित नक्कली एआई-संचालित उपकरणहरूमा निर्भर थिए। अब, प्रतिलिपि अधिकार-सम्बन्धित प्रलोभनहरूमा परिवर्तनले यसको विकासमा नयाँ अध्यायलाई चिन्ह लगाउँछ। उल्लेखनीय रूपमा, यस्तै रणनीतिहरू पहिले पनि देखिएका छन्: नोभेम्बर २०२४ मा, ठूलो मात्रामा फिसिङ अभियानले Rhadamanthys Stealer फैलाउन झूटा प्रतिलिपि अधिकार उल्लङ्घन दाबीहरू प्रयोग गर्यो।
आक्रमण श्रृंखलाको शरीर रचना
हालको सञ्चालन Gmail-उत्पत्ति भएका फिसिङ इमेलहरूबाट सुरु हुन्छ, जुन शंकालाई बाइपास गर्न डिजाइन गरिएको हो र प्रतिलिपि अधिकार उल्लङ्घनको आरोप लगाइएको छ। इमेल भित्र, ड्रपबक्स लिङ्कले ZIP वा MSI फाइल डेलिभर गर्दछ। एक पटक कार्यान्वयन भएपछि, यो स्थापनाकर्ताले वैध Haihaisoft PDF Reader बाइनरीहरू मार्फत एक दुर्भावनापूर्ण DLL साइडलोड गर्दछ। Noodlophile stealer चल्नु अघि, विन्डोज रजिस्ट्री प्रविष्टिहरू परिमार्जन गरेर स्थिरता सिर्जना गर्न ब्याच स्क्रिप्टहरू प्रयोग गरिन्छ।
विशेष गरी छल्ने प्रविधिमा टेलिग्राम समूह विवरणहरू समावेश छन्, जसले पीडितहरूलाई paste.rs मा होस्ट गरिएको वास्तविक पेलोड सर्भरतर्फ औंल्याउन 'डेड ड्रप रिजल्भर' को रूपमा काम गर्दछ। यो विधिले गतिशील पेलोड डेलिभरी सक्षम पार्दा पत्ता लगाउने र हटाउने प्रयासहरूलाई जटिल बनाउँछ।
टार्ने रणनीतिहरू विकसित हुँदै
Base64-इनकोडेड अभिलेखहरू र certutil.exe जस्ता LOLBins लाई प्रयोग गर्ने पहिलेका अभियानहरूमा निर्माण गर्दै, हालको पुनरावृत्तिले थप्छ:
- टेलिग्राम-आधारित कमाण्ड-एन्ड-नियन्त्रण च्यानलहरू
- डिस्क-आधारित पत्ता लगाउनबाट बच्न इन-मेमोरी कार्यान्वयन प्रविधिहरू
यी आविष्कारहरूले परम्परागत प्रतिरक्षालाई कम प्रभावकारी बनाउँदै, थप परिष्कृत चोरी संयन्त्रहरूतर्फ स्थिर प्रवृत्ति प्रदर्शन गर्छन्।
नूडलोफाइलको क्षमताहरू
नूडलोफाइल साधारण चोर होइन, यो निरन्तर विकसित हुँदै गइरहेको टूलकिट हो जुन संवेदनशील डेटाको विस्तृत दायरालाई बाहिर निकाल्न डिजाइन गरिएको हो। हालको विश्लेषणले देखाउँछ कि यसले गर्न सक्छ:
- ब्राउजर डेटा र प्रणाली जानकारी निकाल्नुहोस्।
- हार्वेस्ट इन्टरप्राइजसँग सम्बन्धित सामाजिक सञ्जाल विवरणहरू, विशेष गरी फेसबुकबाट।
जारी कोड विश्लेषणले विकासकर्ताहरूले यसको कार्यक्षमता विस्तार गर्ने काम गरिरहेको देखाउँछ। योजनाबद्ध सुविधाहरूमा स्क्रिनसट क्याप्चर, किलगिङ, फाइल एक्सफिल्टरेशन, प्रक्रिया अनुगमन, नेटवर्क रिकोनिसेन्स, फाइल इन्क्रिप्शन, र विस्तृत ब्राउजर इतिहास निकासी समावेश छन्।
बढ्दो उद्यम जोखिम
अभियानले ब्राउजर र सामाजिक सञ्जाल डेटामा जोड दिएको कुराले जानाजानी गरिएको रणनीतिलाई प्रकाश पार्छ: बलियो अनलाइन उपस्थिति भएका उद्यमहरूलाई सम्झौता गर्नु। विकास अन्तर्गत नयाँ प्रकार्यहरूसँग, नूडलोफाइल भविष्यमा जासुसी, प्रमाण चोरी, र सम्भावित रूपमा ransomware-जस्तो क्षमताहरू संयोजन गर्दै, अझ बहुमुखी र खतरनाक खतरामा विकसित हुन सक्छ।
