Campanie de malware Noodlophile
Infractorii cibernetici din spatele malware-ului Noodlophile au desfășurat o campanie continuă care vizează organizații din SUA, Europa, țările baltice și regiunea Asia-Pacific. Prin combinarea tacticilor de spear-phishing cu mecanisme de livrare în continuă evoluție, aceștia își propun să implementeze un instrument puternic de furt de informații, care continuă să crească în sofisticare.
Cuprins
Spear-phishing cu o notă aparte
Campania, activă de peste un an, s-a transformat în e-mailuri de tip spear-phishing deghizate în notificări de încălcare a drepturilor de autor. Aceste e-mailuri nu sunt generice; atacatorii le adaptează folosind date de recunoaștere, cum ar fi ID-urile paginilor de Facebook și detalii despre proprietatea companiei, pentru a crește credibilitatea.
Valurile anterioare ale campaniei Noodlophile , descoperite în mai 2025, se bazau pe instrumente false bazate pe inteligență artificială, promovate prin intermediul canalelor de socializare precum Facebook. Acum, trecerea la momeli legate de drepturile de autor marchează un nou capitol în evoluția sa. În mod notabil, strategii similare au mai fost observate și anterior: în noiembrie 2024, o campanie de phishing la scară largă a folosit afirmații false de încălcare a drepturilor de autor pentru a răspândi Rhadamanthys Stealer.
Anatomia lanțului de atac
Operațiunea actuală începe cu e-mailuri de phishing originare din Gmail, concepute pentru a evita suspiciunile, insuflând în același timp urgență în jurul presupuselor încălcări ale drepturilor de autor. În cadrul e-mailului, un link Dropbox livrează fie un fișier ZIP, fie un fișier MSI. Odată executat, acest program de instalare încarcă lateral un DLL rău intenționat prin intermediul unor fișiere binare legitime Haihaisoft PDF Reader. Înainte de rularea programului Noodlophile, se folosesc scripturi batch pentru a crea persistență prin modificarea intrărilor din Registrul Windows.
O tehnică deosebit de evazivă implică descrierile grupurilor Telegram, care acționează ca un „rezolvator de date fără ieșire” pentru a direcționa victimele către serverul de payload găzduit pe paste.rs. Această metodă complică eforturile de detectare și eliminare, permițând în același timp livrarea dinamică a payload-ului.
Tacticile de evitare evoluează
Bazându-se pe campaniile anterioare care utilizau arhive codificate în Base64 și LOLBins precum certutil.exe, iterația actuală adaugă:
- Canale de comandă și control bazate pe Telegram
- Tehnici de execuție în memorie pentru a evita detectarea pe disc
Aceste inovații demonstrează o tendință constantă către mecanisme de evitare mai sofisticate, ceea ce face ca apărarea tradițională să fie mai puțin eficientă.
Capacitățile Noodlofilului
Noodlophile nu este un simplu furt de date, ci un set de instrumente în continuă evoluție, conceput pentru a exfiltra o gamă largă de date sensibile. Analizele actuale arată că poate:
- Extrageți datele browserului și informațiile de sistem.
- Colectați detalii despre rețelele sociale legate de companie, în special de pe Facebook.
Analiza continuă a codului arată că dezvoltatorii lucrează la extinderea funcționalității sale. Printre caracteristicile planificate se numără captura de capturi de ecran, înregistrarea tastelor (keylogging), exfiltrarea fișierelor, monitorizarea proceselor, recunoașterea rețelei, criptarea fișierelor și extragerea detaliată a istoricului browserului.
Un risc tot mai mare pentru întreprinderi
Accentul pus de campanie pe datele din browser și rețelele sociale evidențiază o strategie deliberată: compromiterea companiilor cu o prezență online puternică. Cu noi funcții în curs de dezvoltare, Noodlophile ar putea evolua într-o amenințare mai versatilă și mai periculoasă, combinând spionajul, furtul de acreditări și, eventual, chiar și capacități de tip ransomware în viitor.
