Кампанія зі шкідливим програмним забезпеченням Noodlophile
Кіберзлочинці, що стоять за шкідливим програмним забезпеченням Noodlophile, розпочали постійну кампанію, спрямовану на організації в США, Європі, країнах Балтії та Азіатсько-Тихоокеанському регіоні. Поєднуючи тактику фішингу з механізмами доставки, що постійно розвиваються, вони прагнуть розгорнути потужний інструмент крадіжки інформації, який продовжує вдосконалюватися.
Зміст
Спеціальний фішинг з родзинкою
Кампанія, яка триває вже понад рік, перейшла на фішингові електронні листи, замасковані під повідомлення про порушення авторських прав. Ці листи не є шаблонними; зловмисники адаптують їх, використовуючи розвідувальні дані, такі як ідентифікатори сторінок у Facebook та дані про власників компаній, щоб підвищити довіру.
Попередні хвилі кампанії Noodlophile , виявлені у травні 2025 року, спиралися на фальшиві інструменти на базі штучного інтелекту, що просувалися через соціальні мережі, такі як Facebook. Тепер перехід до приманок, пов'язаних з авторським правом, знаменує собою новий розділ в її еволюції. Примітно, що подібні стратегії спостерігалися раніше: у листопаді 2024 року масштабна фішингова кампанія використовувала неправдиві заяви про порушення авторських прав для поширення Rhadamanthys Stealer.
Анатомія ланцюга атак
Поточна операція починається з фішингових електронних листів, що надсилаються через Gmail, призначених для уникнення підозр, водночас вселяючи невідкладність у зв'язку з ймовірними порушеннями авторських прав. У листі посилання на Dropbox містить ZIP- або MSI-файл. Після виконання цей інсталятор завантажує шкідливу DLL-бібліотеку через легітимні бінарні файли Haihaisoft PDF Reader. Перед запуском злому Noodlophile використовуються пакетні скрипти для створення стійкості шляхом зміни записів реєстру Windows.
Особливо хитрий метод включає описи груп Telegram, які діють як «розв’язувач мертвих місць», щоб вказати жертвам на фактичний сервер корисного навантаження, розміщений на paste.rs. Цей метод ускладнює виявлення та видалення, водночас забезпечуючи динамічну доставку корисного навантаження.
Тактика ухилення розвивається
Спираючись на попередні кампанії, які використовували архіви з кодуванням Base64 та LOLBins, такі як certutil.exe, поточна ітерація додає:
- Канали командування та управління на основі Telegram
- Методи виконання в пам'яті для уникнення виявлення на диску
Ці інновації демонструють стійку тенденцію до більш складних механізмів ухилення, що робить традиційні засоби захисту менш ефективними.
Можливості Нудлофіла
Noodlophile — це не простий викрадач даних, це постійно розвивається набір інструментів, призначений для вилучення широкого спектру конфіденційних даних. Поточний аналіз показує, що він може:
- Витягти дані браузера та системну інформацію.
- Збирайте інформацію про соціальні мережі, пов’язану з підприємством, зокрема з Facebook.
Поточний аналіз коду показує, що розробники працюють над розширенням функціональності. Заплановані функції включають зняття скріншотів, кейлоггинг, вилучення файлів, моніторинг процесів, розвідку мережі, шифрування файлів та вилучення детальної історії браузера.
Зростаючий ризик підприємства
Акцент кампанії на даних браузерів та соціальних мереж підкреслює цілеспрямовану стратегію: скомпрометувати підприємства з сильною онлайн-присутністю. З розробкою нових функцій Noodlophile може перетворитися на більш універсальну та небезпечну загрозу, що поєднує шпигунство, крадіжку облікових даних і потенційно навіть можливості, подібні до програм-вимагачів, у майбутньому.
