Chiến dịch phần mềm độc hại Noodlophile

Tội phạm mạng đứng sau phần mềm độc hại Noodlophile đã và đang tiến hành một chiến dịch liên tục nhắm vào các tổ chức ở Hoa Kỳ, Châu Âu, các nước Baltic và khu vực Châu Á - Thái Bình Dương. Bằng cách kết hợp các chiến thuật lừa đảo trực tuyến với các cơ chế phát tán ngày càng tinh vi, chúng đang nhắm đến việc triển khai một công cụ đánh cắp thông tin mạnh mẽ và ngày càng tinh vi hơn.

Spear-Phishing với một chút thay đổi

Chiến dịch này, diễn ra trong hơn một năm, đã chuyển sang các email lừa đảo được ngụy trang dưới dạng thông báo vi phạm bản quyền. Những email này không phải là email chung chung; kẻ tấn công đã tùy chỉnh chúng bằng cách sử dụng dữ liệu trinh sát như ID Trang Facebook và thông tin chi tiết về quyền sở hữu công ty để tăng độ tin cậy.

Các đợt tấn công trước đó của chiến dịch Noodlophile , bị phát hiện vào tháng 5 năm 2025, dựa trên các công cụ AI giả mạo được quảng bá thông qua các kênh mạng xã hội như Facebook. Giờ đây, sự chuyển dịch sang các chiêu trò liên quan đến bản quyền đánh dấu một chương mới trong quá trình phát triển của nó. Đáng chú ý, các chiến lược tương tự đã từng được chứng kiến trước đây: vào tháng 11 năm 2024, một chiến dịch lừa đảo quy mô lớn đã sử dụng các tuyên bố vi phạm bản quyền giả mạo để phát tán Rhadamanthys Stealer.

Giải phẫu của chuỗi tấn công

Chiến dịch hiện tại bắt đầu bằng các email lừa đảo có nguồn gốc từ Gmail, được thiết kế để bỏ qua sự nghi ngờ đồng thời tạo ra sự cấp bách xung quanh các cáo buộc vi phạm bản quyền. Trong email, một liên kết Dropbox sẽ gửi một tệp ZIP hoặc MSI. Sau khi được thực thi, trình cài đặt này sẽ tải một tệp DLL độc hại thông qua các tệp nhị phân Haihaisoft PDF Reader hợp lệ. Trước khi Noodlophile stealer chạy, các tập lệnh hàng loạt được sử dụng để duy trì tính bền bỉ bằng cách sửa đổi các mục nhập Windows Registry.

Một kỹ thuật đặc biệt khó phát hiện liên quan đến mô tả nhóm Telegram, hoạt động như một "trình giải quyết thư chết" để hướng dẫn nạn nhân đến máy chủ tải trọng thực tế được lưu trữ trên paste.rs. Phương pháp này làm phức tạp các nỗ lực phát hiện và gỡ bỏ, đồng thời cho phép phân phối tải trọng động.

Chiến thuật né tránh đang phát triển

Dựa trên các chiến dịch trước đó sử dụng kho lưu trữ được mã hóa Base64 và LOLBins như certutil.exe, phiên bản hiện tại bổ sung thêm:

• Các kênh chỉ huy và điều khiển dựa trên Telegram
• Các kỹ thuật thực thi trong bộ nhớ để tránh bị phát hiện dựa trên đĩa

Những cải tiến này cho thấy xu hướng ổn định hướng tới các cơ chế né tránh tinh vi hơn, khiến các biện pháp phòng thủ truyền thống kém hiệu quả hơn.

Khả năng của Noodlophile

Noodlophile không phải là một kẻ đánh cắp đơn thuần, nó là một bộ công cụ liên tục được phát triển, được thiết kế để đánh cắp một loạt dữ liệu nhạy cảm. Các phân tích hiện tại cho thấy nó có thể:

• Trích xuất dữ liệu trình duyệt và thông tin hệ thống.
• Thu thập thông tin chi tiết về phương tiện truyền thông xã hội liên quan đến doanh nghiệp, đặc biệt là từ Facebook.

Phân tích mã đang được tiến hành cho thấy các nhà phát triển đang nỗ lực mở rộng chức năng của nó. Các tính năng dự kiến bao gồm chụp ảnh màn hình, ghi lại thao tác bàn phím, trích xuất tệp, giám sát quy trình, do thám mạng, mã hóa tệp và trích xuất lịch sử duyệt web chi tiết.

Rủi ro doanh nghiệp ngày càng mở rộng

Việc chiến dịch tập trung vào dữ liệu trình duyệt và mạng xã hội cho thấy một chiến lược có chủ đích: tấn công các doanh nghiệp có sự hiện diện trực tuyến mạnh mẽ. Với các chức năng mới đang được phát triển, Noodlophile có thể phát triển thành một mối đe dọa linh hoạt và nguy hiểm hơn, kết hợp các khả năng gián điệp, đánh cắp thông tin đăng nhập và thậm chí có khả năng tương tự như ransomware trong tương lai.