Campanha de Malware Noodlophile
Os cibercriminosos por trás do malware Noodlophile vêm realizando uma campanha contínua visando organizações nos EUA, Europa, Países Bálticos e região da Ásia-Pacífico. Combinando táticas de spear-phishing com mecanismos de entrega em constante evolução, eles visam implantar uma poderosa ferramenta de roubo de informações que continua a se sofisticar.
Índice
Spear-Phishing com uma reviravolta
A campanha, ativa há mais de um ano, passou a direcionar seus esforços para e-mails de spear-phishing disfarçados de avisos de violação de direitos autorais. Esses e-mails não são genéricos; os invasores os adaptam usando dados de reconhecimento, como IDs de páginas do Facebook e detalhes de propriedade da empresa, para aumentar a credibilidade.
Ondas anteriores da campanha Noodlophile , descobertas em maio de 2025, baseavam-se em ferramentas falsas de IA promovidas por meio de canais de mídia social como o Facebook. Agora, a mudança para iscas relacionadas a direitos autorais marca um novo capítulo em sua evolução. Notavelmente, estratégias semelhantes já foram vistas antes: em novembro de 2024, uma campanha de phishing em larga escala utilizou falsas alegações de violação de direitos autorais para disseminar o Rhadamanthys Stealer.
Anatomia da Cadeia de Ataque
A operação atual começa com e-mails de phishing originados do Gmail, projetados para contornar suspeitas e, ao mesmo tempo, incutir urgência em supostas violações de direitos autorais. Dentro do e-mail, um link do Dropbox entrega um arquivo ZIP ou MSI. Uma vez executado, esse instalador carrega uma DLL maliciosa por meio de binários legítimos do Haihaisoft PDF Reader. Antes da execução do ladrão Noodlophile, scripts em lote são usados para criar persistência, modificando entradas do Registro do Windows.
Uma técnica particularmente evasiva envolve descrições de grupos do Telegram, que funcionam como um "resolvedor de dead drop" para direcionar as vítimas ao servidor de payload real hospedado em paste.rs. Esse método complica os esforços de detecção e remoção, ao mesmo tempo em que permite a entrega dinâmica de payload.
Táticas de Evasão em Evolução
Com base em campanhas anteriores que aproveitavam arquivos codificados em Base64 e LOLBins como certutil.exe, a iteração atual adiciona:
- Canais de comando e controle baseados em telegrama
- Técnicas de execução na memória para evitar a detecção baseada em disco
Essas inovações demonstram uma tendência constante em direção a mecanismos de evasão mais sofisticados, tornando as defesas tradicionais menos eficazes.
Capacidades do Noodlophile
O Noodlophile não é um simples ladrão; é um conjunto de ferramentas em constante evolução, projetado para exfiltrar uma ampla gama de dados confidenciais. Análises atuais mostram que ele pode:
- Extraia dados do navegador e informações do sistema.
- Colete detalhes de mídias sociais relacionadas à empresa, especialmente do Facebook.
A análise contínua do código revela que os desenvolvedores estão trabalhando para expandir sua funcionalidade. Os recursos planejados incluem captura de tela, keylogging, exfiltração de arquivos, monitoramento de processos, reconhecimento de rede, criptografia de arquivos e extração detalhada do histórico do navegador.
Um risco empresarial crescente
A ênfase da campanha em dados de navegadores e redes sociais destaca uma estratégia deliberada: comprometer empresas com forte presença online. Com novas funções em desenvolvimento, o Noodlophile pode evoluir para uma ameaça mais versátil e perigosa, combinando espionagem, roubo de credenciais e, potencialmente, até mesmo recursos semelhantes a ransomware no futuro.
