Kampaň proti škodlivému softvéru Noodlophile
Kyberzločinci stojaci za malvérom Noodlophile vedú prebiehajúcu kampaň zameranú na organizácie v USA, Európe, Pobaltí a ázijsko-tichomorskom regióne. Kombináciou phishingových taktík s vyvíjajúcimi sa mechanizmami doručovania sa snažia nasadiť silný nástroj na krádež informácií, ktorý sa neustále zdokonaľuje.
Obsah
Spear-phishing s novým prvkom
Kampaň, ktorá prebieha už viac ako rok, sa presunula smerom k phishingovým e-mailom maskovaným ako oznámenia o porušení autorských práv. Tieto e-maily nie sú generické; útočníci ich prispôsobujú pomocou prieskumných údajov, ako sú ID stránok na Facebooku a podrobnosti o vlastníctve spoločností, aby zvýšili dôveryhodnosť.
Skoršie vlny kampane Noodlophile , odhalené v máji 2025, sa spoliehali na falošné nástroje poháňané umelou inteligenciou propagované prostredníctvom sociálnych médií, ako je Facebook. Teraz prechod na lákadlá súvisiace s autorskými právami predstavuje novú kapitolu v jej vývoji. Je pozoruhodné, že podobné stratégie sa už vyskytli: v novembri 2024 rozsiahla phishingová kampaň využila falošné tvrdenia o porušení autorských práv na šírenie vírusu Rhadamanthys Stealer.
Anatómia útočného reťazca
Súčasná operácia začína phishingovými e-mailami pochádzajúcimi z Gmailu, ktoré sú navrhnuté tak, aby obišli podozrenie a zároveň vzbudili naliehavosť v súvislosti s údajným porušením autorských práv. V e-maile sa nachádza odkaz na Dropbox, ktorý odošle súbor ZIP alebo MSI. Po spustení tento inštalátor načíta škodlivú knižnicu DLL prostredníctvom legitímnych binárnych súborov Haihaisoft PDF Reader. Pred spustením škodlivého softvéru Noodlophile sa na vytvorenie perzistencie použijú dávkové skripty úpravou položiek v registri systému Windows.
Obzvlášť obchádzajúca technika zahŕňa popisy skupín v Telegrame, ktoré fungujú ako „prehľadávač mŕtvych umiestnení“ a nasmerujú obete na skutočný server s dátami hostovaný na paste.rs. Táto metóda komplikuje detekciu a odstraňovanie a zároveň umožňuje dynamické doručovanie dát.
Vývoj taktík úniku
V nadväznosti na predchádzajúce kampane, ktoré využívali archívy kódované v Base64 a LOLBiny ako certutil.exe, súčasná verzia pridáva:
- Kanály velenia a riadenia založené na telegrame
- Techniky vykonávania v pamäti na obchádzanie detekcie na disku
Tieto inovácie ukazujú stály trend smerom k sofistikovanejším mechanizmom úniku, čím sa tradičná obrana znižuje jej účinnosť.
Schopnosti Noodlophile
Noodlophile nie je obyčajný stealer, je to neustále sa vyvíjajúci súbor nástrojov určený na exfiltráciu širokej škály citlivých údajov. Súčasná analýza ukazuje, že dokáže:
- Extrahujte údaje prehliadača a systémové informácie.
- Zbierajte informácie o sociálnych sieťach súvisiacich s podnikaním, najmä z Facebooku.
Prebiehajúca analýza kódu odhaľuje, že vývojári pracujú na rozšírení jeho funkcionality. Medzi plánované funkcie patrí snímanie obrazovky, keylogging, exfiltrácia súborov, monitorovanie procesov, prieskum siete, šifrovanie súborov a podrobná extrakcia histórie prehliadača.
Rozširujúce sa podnikové riziko
Dôraz kampane na údaje z prehliadačov a sociálnych médií zdôrazňuje premyslenú stratégiu: ohroziť podniky so silnou online prítomnosťou. S novými funkciami, ktoré sú vo vývoji, by sa Noodlophile mohol vyvinúť na všestrannejšiu a nebezpečnejšiu hrozbu, ktorá by v budúcnosti kombinovala špionáž, krádež prihlasovacích údajov a potenciálne aj ransomvérové funkcie.
