Noodlophile 恶意软件活动

Noodlophile 恶意软件背后的网络犯罪分子一直在针对美国、欧洲、波罗的海国家和亚太地区的组织发起攻击。他们结合鱼叉式网络钓鱼策略和不断演变的传播机制，旨在部署一种强大的信息窃取工具，并且该工具的复杂程度还在不断提升。

鱼叉式网络钓鱼

这场活动持续了一年多，现已转向伪装成版权侵权通知的鱼叉式网络钓鱼邮件。这些邮件并非通用邮件；攻击者会利用侦察数据（例如 Facebook 主页 ID 和公司所有权详细信息）来定制邮件，以提高可信度。

Noodlophile 攻击活动的早期波次于 2025 年 5 月被发现，当时它依赖于通过 Facebook 等社交媒体渠道推广的虚假人工智能工具。如今，它转向使用与版权相关的诱饵，标志着其演变翻开了新的篇章。值得注意的是，类似的策略此前也曾出现过：2024 年 11 月，一场大规模的网络钓鱼攻击活动利用虚假的版权侵权指控来传播 Rhadamanthys Stealer。

攻击链剖析

当前的行动始于通过 Gmail 发送的钓鱼邮件，旨在绕过怀疑，同时强调涉嫌侵犯版权的紧迫性。邮件中，Dropbox 链接会发送一个 ZIP 或 MSI 文件。一旦执行，该安装程序会通过合法的 Haihaisoft PDF 阅读器二进制文件侧载恶意 DLL。在 Noodlophile 窃取程序运行之前，会使用批处理脚本通过修改 Windows 注册表项来建立持久性。

一种特别容易被绕过的技术是利用 Telegram 群组描述，它充当“死信箱解析器”，将受害者指向托管在 paste.rs 上的实际有效载荷服务器。这种方法使检测和删除工作变得复杂，同时实现了动态有效载荷的投递。

逃避策略不断演变

在利用 Base64 编码档案和 LOLBins（如 certutil.exe）的早期活动的基础上，当前迭代添加了：

• 基于电报的命令和控制通道
• 内存执行技术可逃避基于磁盘的检测

这些创新展示了一种向更复杂的规避机制迈进的稳定趋势，使得传统防御变得不那么有效。

Noodlophile 的功能

Noodlophile 并非一个简单的窃取程序，而是一个不断进化的工具包，旨在窃取各种敏感数据。目前的分析表明，它可以：

• 提取浏览器数据和系统信息。
• 收集与企业相关的社交媒体详细信息，尤其是来自 Facebook 的信息。

正在进行的代码分析表明，开发人员正在扩展其功能。计划的功能包括屏幕截图、键盘记录、文件泄露、进程监控、网络侦察、文件加密以及详细的浏览器历史记录提取。

企业风险不断扩大

此次攻击活动重点关注浏览器和社交媒体数据，凸显了其精心策划的策略：攻击拥有强大网络影响力的企业。随着新功能的开发，Noodlophile 可能会演变成一个更加复杂、更加危险的威胁，集间谍活动、凭证盗窃，甚至未来可能具备类似勒索软件的功能。