Кампања против злонамерног софтвера Noodlophile
Сајбер криминалци који стоје иза злонамерног софтвера Noodlophile воде континуирану кампању усмерену на организације у САД, Европи, балтичким земљама и Азијско-пацифичком региону. Комбиновањем тактика фишинга са еволуирајућим механизмима испоруке, циљ им је да примене моћан алат за крађу информација који наставља да расте у софистицираности.
Преглед садржаја
Копни фишинг са изненађењем
Кампања, активна више од годину дана, преусмерила се на фишинг имејлове прикривене као обавештења о кршењу ауторских права. Ови имејлови нису генерички; нападачи их прилагођавају користећи извиђачке податке као што су ИД-ови Фејсбук страница и детаљи о власништву компаније како би повећали кредибилитет.
Ранији таласи кампање Noodlophile , откривени у мају 2025. године, ослањали су се на лажне алате покретане вештачком интелигенцијом, промовисане путем канала друштвених медија попут Фејсбука. Сада, прелазак на мамце везане за ауторска права означава ново поглавље у њеној еволуцији. Приметно је да су сличне стратегије виђене и раније: у новембру 2024. године, кампања фишинга великих размера користила је лажне тврдње о кршењу ауторских права за ширење Rhadamanthys Stealer-а.
Анатомија ланца напада
Тренутна операција почиње фишинг имејловима који потичу из Gmail-а, а дизајнирани су да заобиђу сумњу, а истовремено укажу на хитну ситуацију око наводних кршења ауторских права. Унутар имејла, Dropbox линк доставља ZIP или MSI датотеку. Након покретања, овај инсталатер инсталира злонамерни DLL путем легитимних бинарних датотека Haihaisoft PDF Reader-а. Пре него што се Noodlophile крадец покрене, користе се пакетни скриптови за креирање перзистентности изменом уноса у Windows регистру.
Посебно избегавајућа техника укључује описе група у Телеграму, који делују као „решавач мртвих локација“ како би усмерили жртве ка стварном серверу са корисним садржајем који се налази на paste.rs. Ова метода компликује напоре за откривање и уклањање, а истовремено омогућава динамичку испоруку корисног садржаја.
Тактике избегавања се развијају
Надовезујући се на раније кампање које су користиле Base64-кодиране архиве и LOLBins датотеке попут certutil.exe, тренутна итерација додаје:
- Канали командовања и контроле засновани на Телеграму
- Технике извршавања у меморији за избегавање детекције на диску
Ове иновације показују сталан тренд ка софистициранијим механизмима избегавања, чинећи традиционалне одбране мање ефикасним.
Способности Нудлофила
Нудлофил није обичан крађа података, већ је алат који се стално развија, а дизајниран је да украде широк спектар осетљивих података. Тренутне анализе показују да може:
- Извуците податке прегледача и системске информације.
- Прикупите податке о друштвеним мрежама везаним за предузеће, посебно са Фејсбука.
Текућа анализа кода открива да програмери раде на проширењу његове функционалности. Планиране функције укључују снимање екрана, бележење тастера са тастатуре, екстракцију датотека, праћење процеса, извиђање мреже, шифровање датотека и детаљно издвајање историје прегледања.
Растући ризик предузећа
Нагласак кампање на подацима претраживача и друштвених медија истиче намерну стратегију: да се угроже предузећа са јаким онлајн присуством. Са новим функцијама у развоју, Noodlophile би могао да еволуира у свестранију и опаснију претњу, комбинујући шпијунажу, крађу акредитива, па чак и могућности сличне ransomware-у у будућности.
