แคมเปญมัลแวร์ Noodlophile

อาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์ Noodlophile กำลังดำเนินการอย่างต่อเนื่องโดยมุ่งเป้าไปที่องค์กรต่างๆ ในสหรัฐอเมริกา ยุโรป ประเทศบอลติก และภูมิภาคเอเชียแปซิฟิก ด้วยการผสมผสานกลยุทธ์ฟิชชิงแบบเจาะจง (Spear-Phishing) เข้ากับกลไกการส่งข้อมูลที่พัฒนาอย่างต่อเนื่อง พวกเขามุ่งเป้าไปที่การใช้เครื่องมือขโมยข้อมูลอันทรงพลังที่มีความซับซ้อนเพิ่มขึ้นอย่างต่อเนื่อง

การหลอกลวงแบบเจาะจงด้วยวิธีการใหม่

แคมเปญนี้ซึ่งดำเนินมานานกว่าหนึ่งปี ได้เปลี่ยนมาใช้อีเมลสเปียร์ฟิชชิงที่ปลอมตัวเป็นประกาศการละเมิดลิขสิทธิ์ อีเมลเหล่านี้ไม่ใช่อีเมลทั่วไป ผู้โจมตีจะปรับแต่งอีเมลโดยใช้ข้อมูลการสอดแนม เช่น ID เพจเฟซบุ๊กและรายละเอียดความเป็นเจ้าของบริษัท เพื่อเพิ่มความน่าเชื่อถือ

คลื่นลูกก่อนของ แคมเปญ Noodlophile ซึ่งถูกเปิดเผยในเดือนพฤษภาคม 2568 อาศัยเครื่องมือปลอมที่ขับเคลื่อนด้วย AI ซึ่งโปรโมตผ่านช่องทางโซเชียลมีเดียอย่าง Facebook บัดนี้ การเปลี่ยนไปใช้การล่อลวงที่เกี่ยวข้องกับลิขสิทธิ์ถือเป็นบทใหม่ของวิวัฒนาการ ที่น่าสังเกตคือ กลยุทธ์ที่คล้ายคลึงกันนี้เคยพบเห็นมาก่อน ในเดือนพฤศจิกายน 2567 แคมเปญฟิชชิ่งขนาดใหญ่ได้ใช้การอ้างสิทธิ์ละเมิดลิขสิทธิ์เท็จเพื่อเผยแพร่ Rhadamanthys Stealer

กายวิภาคของห่วงโซ่การโจมตี

การดำเนินการในปัจจุบันเริ่มต้นด้วยอีเมลฟิชชิงที่มาจาก Gmail ซึ่งออกแบบมาเพื่อหลีกเลี่ยงข้อสงสัย ในขณะเดียวกันก็สร้างความเร่งด่วนเกี่ยวกับการละเมิดลิขสิทธิ์ที่ถูกกล่าวหา ภายในอีเมลจะมีลิงก์ Dropbox ที่จะนำส่งไฟล์ ZIP หรือ MSI เมื่อดำเนินการแล้ว ตัวติดตั้งนี้จะไซด์โหลดไฟล์ DLL ที่เป็นอันตรายผ่านไฟล์ไบนารีของ Haihaisoft PDF Reader ที่ถูกต้อง ก่อนที่โปรแกรมขโมย Noodlophile จะทำงาน จะมีการใช้สคริปต์แบบแบตช์เพื่อสร้างความคงอยู่โดยการแก้ไขรายการรีจิสทรีของ Windows

เทคนิคการหลบเลี่ยงอย่างหนึ่งของ Telegram เกี่ยวข้องกับคำอธิบายกลุ่ม ซึ่งทำหน้าที่เป็น 'ตัวแก้ปัญหาการทิ้งแบบตายตัว' เพื่อชี้เหยื่อไปยังเซิร์ฟเวอร์เพย์โหลดจริงที่โฮสต์อยู่บน paste.rs วิธีการนี้ทำให้การตรวจจับและลบข้อมูลมีความซับซ้อนมากขึ้น ในขณะเดียวกันก็ทำให้สามารถส่งเพย์โหลดแบบไดนามิกได้

กลยุทธ์การหลบเลี่ยงกำลังพัฒนา

จากการรณรงค์ก่อนหน้านี้ที่ใช้ประโยชน์จากไฟล์เก็บถาวรที่เข้ารหัส Base64 และ LOLBins เช่น certutil.exe การวนซ้ำปัจจุบันจึงเพิ่มสิ่งต่อไปนี้:

• ช่องทางการสั่งการและควบคุมที่ใช้ Telegram
• เทคนิคการดำเนินการในหน่วยความจำเพื่อหลีกเลี่ยงการตรวจจับตามดิสก์

นวัตกรรมเหล่านี้แสดงให้เห็นถึงแนวโน้มที่มั่นคงในการใช้กลไกการหลบเลี่ยงที่ซับซ้อนมากขึ้น ซึ่งทำให้การป้องกันแบบเดิมมีประสิทธิภาพน้อยลง

ความสามารถของนักกินบะหมี่

Noodlophile ไม่ใช่เพียงเครื่องมือขโมยธรรมดาๆ แต่มันคือชุดเครื่องมือที่พัฒนาอย่างต่อเนื่อง ออกแบบมาเพื่อขโมยข้อมูลสำคัญหลากหลายประเภท การวิเคราะห์ในปัจจุบันแสดงให้เห็นว่ามันสามารถ:

• แยกข้อมูลเบราว์เซอร์และข้อมูลระบบ
• เก็บเกี่ยวรายละเอียดโซเชียลมีเดียที่เกี่ยวข้องกับองค์กร โดยเฉพาะจาก Facebook

จากการวิเคราะห์โค้ดอย่างต่อเนื่อง พบว่านักพัฒนาซอฟต์แวร์กำลังพัฒนาฟังก์ชันการทำงานให้ครอบคลุมยิ่งขึ้น ฟีเจอร์ที่วางแผนไว้ประกอบด้วยการจับภาพหน้าจอ การบันทึกคีย์ล็อกเกอร์ การขโมยไฟล์ การตรวจสอบกระบวนการ การลาดตระเวนเครือข่าย การเข้ารหัสไฟล์ และการดึงข้อมูลประวัติการใช้งานเบราว์เซอร์อย่างละเอียด

ความเสี่ยงขององค์กรที่ขยายตัว

แคมเปญนี้เน้นไปที่ข้อมูลเบราว์เซอร์และโซเชียลมีเดีย เน้นย้ำถึงกลยุทธ์ที่วางไว้อย่างแน่วแน่ นั่นคือการพยายามโจมตีองค์กรที่มีสถานะออนไลน์ที่แข็งแกร่ง ด้วยฟังก์ชันใหม่ๆ ที่อยู่ระหว่างการพัฒนา Noodlophile อาจพัฒนาเป็นภัยคุกคามที่มีความหลากหลายและอันตรายยิ่งขึ้น ผสมผสานการจารกรรม การขโมยข้อมูลประจำตัว และอาจรวมถึงความสามารถที่คล้ายกับแรนซัมแวร์ในอนาคต