Nodlophile Malware Campaign

Ang mga cybercriminal sa likod ng Nodlophile malware ay nagsasagawa ng patuloy na kampanya na nagta-target sa mga organisasyon sa US, Europe, Baltics, at rehiyon ng Asia-Pacific. Sa pamamagitan ng pagsasama-sama ng mga taktika ng spear-phishing sa mga umuusbong na mekanismo ng paghahatid, nilalayon nilang mag-deploy ng isang mahusay na tool sa pagnanakaw ng impormasyon na patuloy na lumalaki sa pagiging sopistikado.

Spear-Phishing na may Twist

Ang campaign, na aktibo sa loob ng mahigit isang taon, ay lumipat sa spear-phishing na mga email na itinago bilang mga notice ng paglabag sa copyright. Ang mga email na ito ay hindi generic; iniangkop sila ng mga umaatake gamit ang data ng reconnaissance gaya ng mga Facebook Page ID at mga detalye ng pagmamay-ari ng kumpanya para mapataas ang kredibilidad.

Ang mga naunang wave ng Nodlophile campaign , na natuklasan noong Mayo 2025, ay umasa sa mga pekeng tool na pinapagana ng AI na na-promote sa pamamagitan ng mga social media channel tulad ng Facebook. Ngayon, ang paglipat sa mga pang-akit na nauugnay sa copyright ay nagmamarka ng isang bagong kabanata sa ebolusyon nito. Kapansin-pansin, ang mga katulad na diskarte ay nakita na dati: noong Nobyembre 2024, isang malakihang kampanya sa phishing ang gumamit ng mga maling claim sa paglabag sa copyright upang maikalat ang Rhadamanthys Stealer.

Anatomy ng Attack Chain

Ang kasalukuyang operasyon ay nagsisimula sa Gmail-originated phishing emails, na idinisenyo upang laktawan ang hinala habang naglalagay ng pagkaapurahan sa mga pinaghihinalaang paglabag sa copyright. Sa loob ng email, ang isang Dropbox link ay naghahatid ng alinman sa ZIP o MSI file. Kapag naisakatuparan, ang installer na ito ay nag-sideload ng nakakahamak na DLL sa pamamagitan ng mga lehitimong binary ng Haihaisoft PDF Reader. Bago tumakbo ang Nodlophile stealer, ginagamit ang mga batch script upang lumikha ng pagtitiyaga sa pamamagitan ng pagbabago sa mga entry sa Windows Registry.

Ang isang partikular na nakakaiwas na pamamaraan ay nagsasangkot ng mga paglalarawan ng grupo ng Telegram, na nagsisilbing 'dead drop resolver' upang ituro ang mga biktima patungo sa aktwal na payload server na naka-host sa paste.rs. Pinapalubha ng paraang ito ang mga pagsusumikap sa pag-detect at pagtanggal habang pinapagana ang paghahatid ng dynamic na payload.

Pag-unlad ng Mga Taktika sa Pag-iwas

Bumuo sa mga naunang kampanya na gumagamit ng mga archive na naka-encode ng Base64 at LOLBins tulad ng certutil.exe, ang kasalukuyang pag-ulit ay nagdaragdag:

• Mga channel ng command-and-control na nakabatay sa Telegram
• In-memory execution techniques para maiwasan ang disk-based detection

Ang mga inobasyong ito ay nagpapakita ng tuluy-tuloy na takbo patungo sa mas sopistikadong mga mekanismo ng pag-iwas, na ginagawang hindi gaanong epektibo ang mga tradisyonal na depensa.

Mga Kakayahan ng Nodlophile

Ang Nodlophile ay hindi isang simpleng magnanakaw, ito ay isang patuloy na umuusbong na toolkit na idinisenyo upang i-exfiltrate ang isang malawak na hanay ng sensitibong data. Ipinapakita ng kasalukuyang pagsusuri na maaari itong:

• I-extract ang data ng browser at impormasyon ng system.
• Mag-ani ng mga detalye ng social media na nauugnay sa negosyo, partikular mula sa Facebook.

Ang patuloy na pagsusuri ng code ay nagpapakita na ang mga developer ay nagtatrabaho sa pagpapalawak ng paggana nito. Kasama sa mga nakaplanong feature ang screenshot capture, keylogging, file exfiltration, process monitoring, network reconnaissance, file encryption, at detalyadong browser history extraction.

Isang Lumalawak na Panganib sa Enterprise

Ang diin ng kampanya sa data ng browser at social media ay nagha-highlight ng isang sinadyang diskarte: upang ikompromiso ang mga negosyo na may malakas na presensya online. Sa mga bagong function na ginagawa, ang Nodlophile ay maaaring mag-evolve sa isang mas maraming nalalaman at mapanganib na banta, pagsasama-sama ng espionage, pagnanakaw ng kredensyal, at potensyal na maging tulad ng ransomware na mga kakayahan sa hinaharap.