Вредоносное ПО Noodlophile: новые способы распространения и угрозы для бизнеса

Злоумышленники продолжают совершенствовать кампанию по распространению вредоносного ПО Noodlophile, расширяя географию атак. Исследователи обнаружили новые механизмы доставки вредоносного кода и фишинговые техники, используемые для заражения компьютеров компаний в США, Европе, странах Прибалтики и Азиатско-Тихоокеанском регионе.

Новые методы распространения

Ранее Noodlophile распространялся через поддельные ИИ-сервисы, рекламируемые в Facebook⋆. Сейчас киберпреступники используют фишинговые письма, маскирующиеся под уведомления о нарушении авторских прав. Для повышения убедительности злоумышленники используют реальные идентификаторы страниц в соцсетях и данные о владельцах компаний.

Письма отправляются с аккаунтов Gmail, содержат ссылки на Dropbox, откуда скачиваются архивы ZIP или MSI-инсталляторы. Эти файлы запускают технику, подгружающую вредоносную DLL-библиотеку через легитимные исполняемые файлы.

Усложнение обнаружения

Для закрепления вредоносного ПО в системе скрипты на языке batch изменяют записи в реестре Windows.

Одним из нововведений стало использование описаний Telegram-групп как скрытых каналов для получения адреса управляющего сервера. Это затрудняет блокировку инфраструктуры и отслеживание кампании.

Дополнительно злоумышленники применяют методы уклонения: архивы с кодировкой Base64, встроенные средства Windows, загрузка и выполнение полезной нагрузки в памяти без записи на диск.

Функциональность Noodlophile

Noodlophile представляет собой полнофункциональный стилер, собирающий информацию о системе, извлекающий данные из браузеров и перехватывающий историю посещений. Анализ исходного кода показал, что разработка продолжается: предусмотрены, но пока не активированы функции кейлоггинга, снятия скриншотов, мониторинга процессов, шифрования файлов, передачи документов и сетевых сведений.

Цель атак

Акцент на краже данных из браузеров объясняется интересом злоумышленников к корпоративным аккаунтам в соцсетях, особенно на платформе Facebook⋆. Компании часто привязывают к ним финансовые инструменты. В перспективе расширение возможностей Noodlophile может превратить его в серьезную угрозу для бизнеса.

Распространение вредоносного ПО Noodlophile демонстрирует эволюцию методов киберпреступности и подчеркивает растущую угрозу для бизнеса. Злоумышленники не просто совершенствуют технические аспекты атак, но и активно адаптируют свои стратегии к поведенческим паттернам жертв, используя социальную инженерию и подражание легитимным сервисам.

Ключевым фактором успеха Noodlophile является его многоуровневая природа. Вместо прямого взлома системы злоумышленники используют цепочку уязвимостей: фишинговые письма, поддельные уведомления, легитимные программы для загрузки вредоносного кода. Такой подход затрудняет обнаружение и блокировку атаки, так как каждый этап маскируется под обычную активность пользователя.

Еще один важный аспект — постоянное развитие Noodlophile. Потенциальная активация дополнительных функций, таких как кейлоггинг и шифрование файлов, превратит его в многофункциональный инструмент, способный наносить серьезный ущерб не только отдельным пользователям, но и целым организациям.

Расширение географии атак Noodlophile указывает на глобальный характер киберпреступности. Уязвимость к таким атакам связана не только с техническими факторами, но и с уровнем осведомленности пользователей о современных угрозах.

Необходимы комплексные меры для противодействия подобным угрозам: повышение уровня кибербезопасности на уровне организаций, обучение сотрудников правилам безопасного поведения в сети, а также развитие международного сотрудничества в борьбе с киберпреступностью.