Kampanj mot skadlig kod från Noodlophile
Cyberbrottslingarna bakom den skadliga programvaran Noodlophile har bedrivit en pågående kampanj riktad mot organisationer i USA, Europa, Baltikum och Asien-Stillahavsområdet. Genom att kombinera spear-phishing-taktik med utvecklande leveransmekanismer strävar de efter att använda ett kraftfullt informationsstöldverktyg som fortsätter att bli alltmer sofistikerat.
Innehållsförteckning
Spear-Phishing med en twist
Kampanjen, som varit aktiv i över ett år, har övergått till spear-phishing-mejl förklädda till meddelanden om upphovsrättsintrång. Dessa mejl är inte generiska; angriparna skräddarsyr dem med hjälp av rekognoseringsdata som Facebook-sid-ID och företagsägaruppgifter för att öka trovärdigheten.
Tidigare omgångar av Noodlophile-kampanjen , som avslöjades i maj 2025, förlitade sig på falska AI-drivna verktyg som marknadsfördes via sociala mediekanaler som Facebook. Nu markerar övergången till upphovsrättsrelaterade lockbete ett nytt kapitel i dess utveckling. Liknande strategier har observerats tidigare: i november 2024 använde en storskalig nätfiskekampanj falska påståenden om upphovsrättsintrång för att sprida Rhadamanthys Stealer.
Anatomi av attackkedjan
Den nuvarande operationen börjar med nätfiskemejl från Gmail, utformade för att kringgå misstankar samtidigt som de skapar brådska kring påstådda upphovsrättsintrång. I e-postmeddelandet levererar en Dropbox-länk antingen en ZIP- eller MSI-fil. När e-postmeddelandet har körts sidläser installationsprogrammet en skadlig DLL via legitima Haihaisoft PDF Reader-binärfiler. Innan Noodlophile-stölden körs används batchskript för att skapa persistens genom att modifiera Windows registerposter.
En särskilt undvikande teknik involverar Telegram-gruppbeskrivningar, som fungerar som en "dead drop-resolver" för att peka offer mot den faktiska nyttolastservern som finns på paste.rs. Denna metod komplicerar upptäckt och borttagning samtidigt som den möjliggör dynamisk nyttolastleverans.
Undvikningstaktik utvecklas
Byggande på tidigare kampanjer som utnyttjade Base64-kodade arkiv och LOLBins som certutil.exe, lägger den nuvarande iterationen till:
- Telegrambaserade kommando- och kontrollkanaler
- Tekniker för exekvering i minnet för att undvika diskbaserad detektering
Dessa innovationer visar en stadig trend mot mer sofistikerade undanmanövreringsmekanismer, vilket gör traditionella försvar mindre effektiva.
Nuodlophiles förmågor
Noodlophile är inte bara en stöld, det är en ständigt utvecklande verktygslåda utformad för att strö över en mängd olika känsliga data. Nuvarande analyser visar att den kan:
- Extrahera webbläsardata och systeminformation.
- Samla in företagsrelaterad information från sociala medier, särskilt från Facebook.
Pågående kodanalys visar att utvecklarna arbetar med att utöka dess funktionalitet. Planerade funktioner inkluderar skärmdumpning, keylogging, fileverans, processövervakning, nätverksrekognosering, filkryptering och detaljerad extraktion av webbhistorik.
En växande företagsrisk
Kampanjens betoning på webbläsar- och sociala mediedata belyser en medveten strategi: att kompromettera företag med en stark onlinenärvaro. Med nya funktioner under utveckling skulle Noodlophile kunna utvecklas till ett mer mångsidigt och farligt hot, som kombinerar spionage, stöld av autentiseringsuppgifter och potentiellt till och med ransomware-liknande funktioner i framtiden.
