Noodlophile Kötü Amaçlı Yazılım Kampanyası

Noodlophile kötü amaçlı yazılımının arkasındaki siber suçlular, ABD, Avrupa, Baltık ülkeleri ve Asya-Pasifik bölgesindeki kuruluşları hedef alan sürekli bir saldırı yürütüyor. Hedef odaklı kimlik avı taktiklerini gelişen dağıtım mekanizmalarıyla birleştirerek, giderek daha karmaşık hale gelen güçlü bir bilgi çalma aracı kullanmayı hedefliyorlar.

Farklı Bir Yöntemle Mızraklı Kimlik Avı

Bir yıldan uzun süredir devam eden kampanya, telif hakkı ihlali bildirimleri kisvesi altında gönderilen kimlik avı e-postalarına yöneldi. Bu e-postalar genel değil; saldırganlar, güvenilirliği artırmak için Facebook Sayfa Kimlikleri ve şirket mülkiyet bilgileri gibi keşif verilerini kullanarak bunları özelleştiriyorlar.

Mayıs 2025'te ortaya çıkarılan Noodlophile kampanyasının önceki dalgaları, Facebook gibi sosyal medya kanalları aracılığıyla tanıtılan sahte yapay zeka destekli araçlara dayanıyordu. Şimdi ise telif hakkıyla ilgili tuzaklara geçiş, evriminde yeni bir dönemi işaret ediyor. Benzer stratejiler daha önce de görülmüştü: Kasım 2024'te, büyük ölçekli bir kimlik avı kampanyası, Rhadamanthys Stealer'ı yaymak için sahte telif hakkı ihlali iddiaları kullandı.

Saldırı Zincirinin Anatomisi

Mevcut operasyon, iddia edilen telif hakkı ihlalleri konusunda aciliyet duygusu uyandırırken şüpheleri ortadan kaldırmak için tasarlanmış Gmail kaynaklı kimlik avı e-postalarıyla başlıyor. E-postada, bir Dropbox bağlantısı bir ZIP veya MSI dosyası sunuyor. Bu yükleyici çalıştırıldığında, meşru Haihaisoft PDF Reader ikili dosyaları aracılığıyla kötü amaçlı bir DLL dosyası yüklüyor. Noodlophile hırsızı çalışmadan önce, toplu komut dosyaları kullanılarak Windows Kayıt Defteri girdileri değiştirilerek kalıcılık oluşturuluyor.

Özellikle kaçamak bir teknik, kurbanları paste.rs'de barındırılan gerçek yük sunucusuna yönlendirmek için bir "boş bırakma çözücüsü" görevi gören Telegram grup açıklamalarını içerir. Bu yöntem, dinamik yük dağıtımını mümkün kılarken tespit ve kaldırma çabalarını zorlaştırır.

Kaçınma Taktikleri Gelişiyor

Base64 kodlu arşivleri ve certutil.exe gibi LOLBin'leri kullanan önceki kampanyalara dayanan mevcut yineleme şunları ekliyor:

• Telegram tabanlı komuta ve kontrol kanalları
• Disk tabanlı algılamayı önlemek için bellek içi yürütme teknikleri

Bu yenilikler, geleneksel savunmaları daha az etkili hale getiren daha gelişmiş kaçınma mekanizmalarına doğru istikrarlı bir eğilim sergiliyor.

Noodlophile’ın Yetenekleri

Noodlophile basit bir hırsız değil, çok çeşitli hassas verileri çalmak için tasarlanmış, sürekli gelişen bir araç setidir. Güncel analizler, şunları yapabileceğini gösteriyor:

• Tarayıcı verilerini ve sistem bilgilerini çıkarın.
• Özellikle Facebook'tan, işletmenizle ilgili sosyal medya bilgilerini toplayın.

Devam eden kod analizi, geliştiricilerin işlevselliğini genişletmek için çalıştığını ortaya koyuyor. Planlanan özellikler arasında ekran görüntüsü yakalama, tuş kaydı tutma, dosya sızdırma, işlem izleme, ağ keşfi, dosya şifreleme ve ayrıntılı tarayıcı geçmişi çıkarma yer alıyor.

Genişleyen Bir Kurumsal Risk

Kampanyanın tarayıcı ve sosyal medya verilerine odaklanması, bilinçli bir stratejiyi gözler önüne seriyor: Güçlü bir çevrimiçi varlığa sahip işletmeleri tehlikeye atmak. Geliştirilmekte olan yeni işlevlerle Noodlophile, gelecekte casusluk, kimlik bilgisi hırsızlığı ve hatta potansiyel olarak fidye yazılımı benzeri yetenekleri bir araya getirerek daha çok yönlü ve tehlikeli bir tehdide dönüşebilir.