Noodlophile 惡意軟體活動

Noodlophile 惡意軟體背後的網路犯罪分子一直在針對美國、歐洲、波羅的海國家和亞太地區的組織發動攻擊。他們結合魚叉式網路釣魚策略和不斷演變的傳播機制，旨在部署一種強大的資訊竊取工具，並且該工具的複雜程度還在不斷提升。

魚叉式網路釣魚

這場活動持續了一年多，現已轉向偽裝成版權侵權通知的魚叉式網路釣魚郵件。這些郵件並非通用郵件；攻擊者會利用偵察資料（例如 Facebook 主頁 ID 和公司所有權詳細資訊）來自訂郵件，以提高可信度。

Noodlophile 攻擊活動的早期波次於 2025 年 5 月被發現，當時它依賴透過 Facebook 等社群媒體管道推廣的虛假人工智慧工具。如今，它轉向使用與版權相關的誘餌，標誌著其演變翻開了新的篇章。值得注意的是，類似的策略先前也曾出現過：2024 年 11 月，一場大規模的網路釣魚攻擊活動利用虛假的版權侵權指控來傳播 Rhadamanthys Stealer。

攻擊鏈剖析

目前的行動始於透過 Gmail 發送的釣魚郵件，旨在繞過懷疑，同時強調涉嫌侵犯版權的緊迫性。郵件中，Dropbox 連結會傳送一個 ZIP 或 MSI 檔案。一旦執行，該安裝程式會透過合法的 Haihaisoft PDF 閱讀器二進位檔案側載惡意 DLL。在 Noodlophile 竊取程式執行之前，會使用批次腳本透過修改 Windows 登錄機碼來建立持久性。

一種特別容易被繞過的技術是利用 Telegram 群組描述，它充當“死信箱解析器”，將受害者指向託管在 paste.rs 上的實際有效載荷伺服器。這種方法使檢測和刪除工作變得複雜，同時實現了動態有效載荷的投遞。

逃避策略不斷演變

在利用 Base64 編碼檔案和 LOLBins（如 certutil.exe）的早期活動的基礎上，當前迭代添加了：

• 基於電報的命令與控制通道
• 記憶體執行技術可逃避基於磁碟的偵測

這些創新展示了一種朝向更複雜的規避機制邁進的穩定趨勢，使得傳統防禦變得不那麼有效。

Noodlophile 的功能

Noodlophile 並非一個簡單的竊取程序，而是一個不斷進化的工具包，旨在竊取各種敏感資料。目前的分析表明，它可以：

• 提取瀏覽器資料和系統資訊。
• 收集與企業相關的社交媒體詳細信息，尤其是來自 Facebook 的資訊。

正在進行的程式碼分析表明，開發人員正在擴展其功能。計劃的功能包括螢幕截圖、鍵盤記錄、文件洩露、進程監控、網路偵察、文件加密以及詳細的瀏覽器歷史記錄提取。

企業風險不斷擴大

這次攻擊活動重點關注瀏覽器和社群媒體數據，凸顯了其精心策劃的策略：攻擊擁有強大網路影響力的企業。隨著新功能的開發，Noodlophile 可能會演變成一個更加複雜、更加危險的威脅，集間諜活動、憑證盜竊，甚至未來可能具備類似勒索軟體的功能。