Вредоносная кампания Noodlophile
Киберпреступники, стоящие за вредоносным ПО Noodlophile, ведут непрерывную кампанию, нацеленную на организации в США, Европе, странах Балтии и Азиатско-Тихоокеанском регионе. Сочетая тактику фишинга с развивающимися механизмами доставки, они стремятся создать мощный инструмент для кражи информации, который продолжает совершенствоваться.
Оглавление
Фишинг с изюминкой
Кампания, действующая уже больше года, переключилась на рассылку фишинговых писем, замаскированных под уведомления о нарушении авторских прав. Эти письма не являются стандартными; злоумышленники адаптируют их, используя разведывательные данные, такие как идентификаторы страниц Facebook и данные о владельцах компаний, для повышения доверия.
Предыдущие волны кампании Noodlophile , раскрытые в мае 2025 года, опирались на фальшивые инструменты на базе искусственного интеллекта, продвигаемые через социальные сети, такие как Facebook. Переход к приманкам, связанным с авторскими правами, знаменует собой новую главу в её развитии. Примечательно, что подобные стратегии уже встречались: в ноябре 2024 года масштабная фишинговая кампания использовала ложные заявления о нарушении авторских прав для распространения вируса Rhadamanthys Stealer.
Анатомия цепи атаки
Текущая операция начинается с фишинговых писем, рассылаемых через Gmail, которые призваны обойти подозрения и одновременно создать ощущение срочности в связи с предполагаемыми нарушениями авторских прав. В письме содержится ссылка на Dropbox, которая открывает ZIP- или MSI-файл. После запуска этот установщик загружает вредоносную DLL-библиотеку через легитимные двоичные файлы Haihaisoft PDF Reader. Перед запуском стилера Noodlophile используются пакетные скрипты для создания постоянного доступа путём изменения записей реестра Windows.
Особенно сложный метод — это описания групп Telegram, которые действуют как «контейнер для поиска», направляя жертв к реальному серверу с полезной нагрузкой, размещённому на paste.rs. Этот метод усложняет обнаружение и блокировку, одновременно обеспечивая динамическую доставку полезной нагрузки.
Развитие тактики уклонения
Основываясь на более ранних кампаниях, которые использовали архивы в кодировке Base64 и LOLBins, такие как certutil.exe, текущая итерация добавляет:
- Каналы управления и контроля на базе Telegram
- Методы выполнения в памяти, позволяющие обойти обнаружение на диске
Эти нововведения демонстрируют устойчивую тенденцию к созданию более сложных механизмов уклонения, что делает традиционные методы защиты менее эффективными.
Возможности Noodlophile
Noodlophile — это не просто вор, а постоянно развивающийся инструментарий, предназначенный для кражи широкого спектра конфиденциальных данных. Текущий анализ показывает, что он может:
- Извлечь данные браузера и информацию о системе.
- Собирайте информацию о компании в социальных сетях, в частности в Facebook.
Продолжающийся анализ кода показывает, что разработчики работают над расширением функциональности. Планируемые функции включают в себя захват скриншотов, кейлоггерство, кражу файлов, мониторинг процессов, сетевую разведку, шифрование файлов и подробное извлечение истории браузера.
Растущий корпоративный риск
Акцент кампании на данных браузеров и социальных сетей свидетельствует о целенаправленной стратегии: скомпрометировать компании с активным присутствием в интернете. С разработкой новых функций Noodlophile может превратиться в более универсальную и опасную угрозу, сочетающую в себе шпионаж, кражу учётных данных и, возможно, даже возможности программ-вымогателей в будущем.
