O malware de ladrão de noodlophile, inicialmente descoberto em campanhas que alavancam plataformas falsas de geração de vídeos de IA, evoluiu para uma operação de phishing de lança direcionada que armazia avisos de violação de direitos autorais para se infiltrar em empresas com presenças substanciais do Facebook.
Essa variante atualizada, ativa por mais de um ano, muda de amplas iscas de mídia social para e-mails altamente personalizados, representando entidades legais, incorporando detalhes derivados de reconhecimento, como IDs específicos da página do Facebook e dados de propriedade da empresa.
Essas tentativas de phishing, geralmente despachadas de Contas do Gmail Para evitar o escrutínio inicial, empregue conteúdo multilíngue potencialmente gerado em idiomas, incluindo inglês, espanhol, polonês e letão, ampliando seu alcance global nos EUA, Europa, Regiões Bálticas e APAC.
Ao exigir uma ação urgente sobre supostas violações, os invasores pressionam funcionários -chave ou caixas de entrada genéricas como info@ ou suporte@ para baixar cargas úteis maliciosas disfarçadas de arquivos de evidência, como “Exibir Evidência de violação de direitos autorais.pdf”.
Essa abordagem reflete campanhas anteriores como a operação de 2024 “Copyrh (OMIG) Adamantys” documentada por Check Point, que distribuiu Rhadamanthys, ladrão por meio de iscas com temas legais semelhantes, mas se distingue através da exploração de vulnerabilidades legítimas de software, estadiamento baseado em telegrama e execução dinâmica da carga útil para evasão aprimorada.
O mecanismo de entrega representa um avanço acentuado, explorando vulnerabilidades de carregamento lateral da DLL em aplicações legítimas e assinadas como o leitor de PDF da Haihaisoft e os conversores do Excel.
Os invasores empregam carregamento de stub recursivo, onde uma pequena DLL de stub é carregada de lado para invocar recursivamente o código malicioso por meio de dependências da tabela de endereços de importação (IAT) ou vulnerabilidades em cadeia em DLLs legítimos para executar secretamente os processos confiáveis.
Aprimoramentos de carga útil
As cargas úteis são divulgadas através de links do Dropbox mascarados por encurtadores de URL como o Tinyurl, contendo arquivos com artefatos ofuscados, como scripts em lote renomeados em extensões .docx ou .pdf ou arquivos de extração de auto-extração (SFX) como arquivos .png.
Após a execução, eles acionam uma fase de preparação intermediária, onde as DLLs renomearam arquivos para revelar scripts de morcego e intérpretes portáteis do Python, estabelecendo persistência por meio de chaves de registro sob hkey_current_user software microsoft windows currentversion run.
As variantes podem baixar arquivos disfarçados adicionais de servidores remotos, transição para camadas aprimoradas de ofuscação que extraem URLs das descrições do grupo de telegramas para recuperação dinâmica de carga útil de plataformas como paste.rs.
O próprio Stealer apresenta recursos aprimorados de roubo de dados, com foco em credenciais do navegador, dados de preenchimento automático, cookies (especialmente cookies do Facebook.sqlite), logins de gecko, dados de login do Chrome e detalhes do cartão de crédito por meio de consultas que ignoram as proteções como o RMStartSession.
Ele também enumera o software de segurança por meio de consultas WMI no antivirusproduct, reúne informações do sistema via Win32_ComputerSystem e Win32_Operatingsystem e mantém a persistência em programas startup enquanto emprega a autodegião.
As funções de espaço reservado na base da base de código dica em expansões futuras, incluindo captura de captura de tela, registro de chave, exfiltração de arquivos, monitoramento de processos, reconhecimento de rede, verificações de extensão do navegador, criptografia de arquivos e extração de histórico de navegador, juntamente com possíveis soluções de AMSI e ETW via .NET para soluções de EVade.
Essa evolução ressalta a adaptabilidade do Noodlophile, direcionando as pegadas de mídia social das empresas para colheita de credenciais e possíveis aquisições de contas.
De acordo com o relatórioOs líderes de segurança devem priorizar as defesas contra esses infotelantes, que exploram as superfícies de ataque estáticas.
Tecnologias como a Defesa de Alvo Motivo Automatizado da Morphisec (AMTD) oferecem proteção preventiva, remodelando dinamicamente os ambientes, neutralizando ameaças antes da execução sem dependência de assinaturas ou heurísticas comportamentais.
À medida que o Noodlophile continua a refinar suas táticas, as organizações devem aprimorar a filtragem de email, conduzir o treinamento regular de conscientização sobre phishing e monitorar indicadores de compromisso para mitigar os riscos dessas iscas de direitos autorais armas.
Indicadores -chave de compromisso (IOCs)
| Categoria | Exemplos |
|---|---|
| Padrões de email | Remetente: gmail.com; Assuntos: Aviso de violação de direitos autorais, ação urgente necessária; Frases: “Ação imediata necessária”, “Representantes legais”, “ID da página do Facebook” |
| URLs/domínios | https://is.gd/pvlokt, https://paste.rs/gc2bj, http://196.251.84.144/suc/zk2.txt, https://t.ly/c$$1]Telegram Bot Twkens: 7913144042: AAGJALVUULPRUGNBQD8D4O33SCWPA0GJPUE, 7414494371: aahsrqdkprevyz9z0roirs5fjki-ihkjpzq |
| Hashes de arquivo | CE69FA159FB53C9A7375EF66153D94480C9A284E373CE8BF22953268F21B2EB2 (DCAATHUR), FAC94A650CD57B9E8DA397816FA8DDD3217DD568EABA1E46909640CBF2F0A29C (DCAAT) |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!