Kampania złośliwego oprogramowania Noodlophile
Cyberprzestępcy stojący za złośliwym oprogramowaniem Noodlophile prowadzą trwającą kampanię, atakując organizacje w Stanach Zjednoczonych, Europie, krajach bałtyckich oraz regionie Azji i Pacyfiku. Łącząc taktykę spear phishingu z rozwijającymi się mechanizmami dystrybucji, dążą do wdrożenia potężnego narzędzia do kradzieży informacji, które stale zyskuje na wyrafinowaniu.
Spis treści
Spear-Phishing z pewnym twistem
Kampania, trwająca ponad rok, skupiła się na e-mailach typu spear phishing, podszywających się pod powiadomienia o naruszeniu praw autorskich. Te e-maile nie są ogólne; atakujący modyfikują je, wykorzystując dane rozpoznawcze, takie jak identyfikatory stron na Facebooku i dane dotyczące własności firmy, aby zwiększyć wiarygodność.
Wcześniejsze fale kampanii Noodlophile , odkryte w maju 2025 roku, opierały się na fałszywych narzędziach opartych na sztucznej inteligencji, promowanych za pośrednictwem mediów społecznościowych, takich jak Facebook. Teraz przejście na przynęty związane z prawami autorskimi otwiera nowy rozdział w jej ewolucji. Warto zauważyć, że podobne strategie obserwowano już wcześniej: w listopadzie 2024 roku, zakrojona na szeroką skalę kampania phishingowa wykorzystywała fałszywe zarzuty naruszenia praw autorskich do rozprzestrzeniania Rhadamanthys Stealer.
Anatomia łańcucha ataku
Obecna operacja rozpoczyna się od wiadomości phishingowych wysyłanych z Gmaila, mających na celu zignorowanie podejrzeń i wzbudzenie poczucia zagrożenia związanego z domniemanymi naruszeniami praw autorskich. W wiadomości e-mail znajduje się link do Dropboxa, który dostarcza plik ZIP lub MSI. Po uruchomieniu instalator pobiera złośliwą bibliotekę DLL z legalnych plików binarnych programu Haihaisoft PDF Reader. Przed uruchomieniem programu Noodlophile stealer, skrypty wsadowe są używane do tworzenia trwałości poprzez modyfikację wpisów w rejestrze systemu Windows.
Szczególnie niebezpieczna technika polega na opisywaniu grup w Telegramie, które działają jak „dead drop resolver”, kierując ofiary do faktycznego serwera z danymi hostowanego na paste.rs. Ta metoda komplikuje wykrywanie i usuwanie ataków, umożliwiając jednocześnie dynamiczne dostarczanie danych.
Taktyki unikania ewoluują
Bazując na wcześniejszych kampaniach wykorzystujących archiwa zakodowane w standardzie Base64 i pliki LOLBin, takie jak certutil.exe, obecna wersja dodaje:
- Kanały dowodzenia i kontroli oparte na telegramach
- Techniki wykonywania w pamięci w celu uniknięcia wykrycia na dysku
Innowacje te świadczą o stałym trendzie w kierunku stosowania bardziej wyrafinowanych mechanizmów unikania, które sprawiają, że tradycyjne metody obrony stają się mniej skuteczne.
Możliwości Noodlophile’a
Noodlophile to nie tylko zwykły złodziej, to stale rozwijający się zestaw narzędzi zaprojektowany do wykradania szerokiego zakresu poufnych danych. Aktualne analizy pokazują, że potrafi on:
- Wyodrębnij dane przeglądarki i informacje o systemie.
- Zbierz informacje dotyczące Twojego przedsiębiorstwa w mediach społecznościowych, szczególnie na Facebooku.
Trwająca analiza kodu ujawnia, że programiści pracują nad rozszerzeniem jego funkcjonalności. Planowane funkcje obejmują przechwytywanie zrzutów ekranu, keyloggera, eksfiltrację plików, monitorowanie procesów, rekonesans sieci, szyfrowanie plików i szczegółową ekstrakcję historii przeglądarki.
Rosnące ryzyko przedsiębiorstwa
Nacisk kampanii na dane z przeglądarek i mediów społecznościowych wskazuje na przemyślaną strategię: atakowanie przedsiębiorstw o silnej obecności online. Dzięki nowym funkcjom w fazie rozwoju, Noodlophile może przekształcić się w bardziej wszechstronne i niebezpieczne zagrożenie, łącząc w przyszłości funkcje szpiegostwa, kradzieży danych uwierzytelniających, a potencjalnie nawet ransomware.
