Fushata e programeve keqdashëse Noodlophile
Kriminelët kibernetikë që fshihen pas malware-it Noodlophile kanë zhvilluar një fushatë të vazhdueshme që synon organizatat në SHBA, Evropë, vendet baltike dhe rajonin e Azi-Paqësorit. Duke kombinuar taktikat e spear-phishing me mekanizmat në zhvillim e sipër të shpërndarjes, ata synojnë të përdorin një mjet të fuqishëm për vjedhjen e informacionit që vazhdon të rritet në sofistikim.
Tabela e Përmbajtjes
Phishing me shtizë me një kthesë të lehtë
Fushata, aktive prej më shumë se një viti, është zhvendosur drejt email-eve spear-phishing të maskuara si njoftime për shkelje të të drejtave të autorit. Këto email-e nuk janë të përgjithshme; sulmuesit i përshtatin ato duke përdorur të dhëna zbulimi, siç janë ID-të e faqeve në Facebook dhe detajet e pronësisë së kompanisë, për të rritur besueshmërinë.
Valët e mëparshme të fushatës Noodlophile , të zbuluara në maj 2025, mbështeteshin në mjete të rreme të mundësuara nga inteligjenca artificiale të promovuara përmes kanaleve të mediave sociale si Facebook. Tani, kalimi në karremin që lidhet me të drejtat e autorit shënon një kapitull të ri në evolucionin e saj. Veçanërisht, strategji të ngjashme janë parë edhe më parë: në nëntor 2024, një fushatë phishing në shkallë të gjerë përdori pretendime të rreme për shkelje të të drejtave të autorit për të përhapur Rhadamanthys Stealer.
Anatomia e Zinxhirit të Sulmit
Operacioni aktual fillon me email-e phishing me origjinë nga Gmail, të dizajnuara për të anashkaluar dyshimet, ndërkohë që ngjallin urgjencë rreth shkeljeve të dyshuara të të drejtave të autorit. Brenda email-it, një lidhje Dropbox dërgon ose një skedar ZIP ose MSI. Pasi ekzekutohet, ky instalues ngarkon një DLL të dëmshme përmes skedarëve binare legjitimë të Haihaisoft PDF Reader. Përpara se të ekzekutohet hajduti Noodlophile, skriptet e grupeve përdoren për të krijuar qëndrueshmëri duke modifikuar hyrjet e Regjistrit të Windows.
Një teknikë veçanërisht e shmangshme përfshin përshkrimet e grupeve në Telegram, të cilat veprojnë si një 'zgjidhës i dead drop-eve' për t'i drejtuar viktimat drejt serverit aktual të ngarkesës së hostuar në paste.rs. Kjo metodë ndërlikon përpjekjet e zbulimit dhe heqjes, ndërsa mundëson shpërndarjen dinamike të ngarkesës së hostuar.
Taktikat e Shmangies në Zhvillim
Duke u bazuar në fushatat e mëparshme që shfrytëzonin arkivat e koduara në Base64 dhe LOLBin-et si certutil.exe, versioni aktual shton:
- Kanale komande dhe kontrolli të bazuara në Telegram
- Teknikat e ekzekutimit në memorie për të shmangur zbulimin e bazuar në disk
Këto inovacione shfaqin një tendencë të qëndrueshme drejt mekanizmave më të sofistikuar të shmangies, duke i bërë mbrojtjet tradicionale më pak efektive.
Aftësitë e Noodlophile
Noodlophile nuk është thjesht një vjedhës, është një set mjetesh që evoluon vazhdimisht, i projektuar për të nxjerrë një gamë të gjerë të dhënash të ndjeshme. Analiza aktuale tregon se mund të:
- Ekstraktoni të dhënat e shfletuesit dhe informacionin e sistemit.
- Mbledh detaje të mediave sociale që lidhen me ndërmarrjet, veçanërisht nga Facebook.
Analiza e vazhdueshme e kodit zbulon se zhvilluesit po punojnë për zgjerimin e funksionalitetit të tij. Karakteristikat e planifikuara përfshijnë kapjen e pamjeve të ekranit, regjistrimin e tasteve, nxjerrjen e skedarëve, monitorimin e procesit, zbulimin e rrjetit, enkriptimin e skedarëve dhe nxjerrjen e detajuar të historikut të shfletuesit.
Një Rrezik Ndërmarrjeje në Zgjerim
Theksi i fushatës në të dhënat e shfletuesit dhe mediave sociale nxjerr në pah një strategji të qëllimshme: të kompromentojë ndërmarrjet me një prani të fortë online. Me funksione të reja në zhvillim e sipër, Noodlophile mund të evoluojë në një kërcënim më të gjithanshëm dhe të rrezikshëm, duke kombinuar spiunazhin, vjedhjen e kredencialeve dhe potencialisht edhe aftësi të ngjashme me ransomware në të ardhmen.
