- 19,963
- 44
- 8 Ноя 2022
Архив из Dropbox запускает троян, а реестр Windows закрепляет его навсегда.
Кампания по распространению вредоносного ПО Noodlophile выходит на новый уровень и охватывает всё больше стран. Исследователь Morphisec Шмуэль Узян сообщил , что злоумышленники перешли к использованию фишинговых писем, замаскированных под уведомления о нарушении авторских прав, и добавили новые механизмы доставки вредоносного кода. Атаки направлены на компании в США, Европе, странах Прибалтики и Азиатско-Тихоокеанском регионе.
Если раньше Noodlophile продвигался через поддельные ИИ-сервисы, рекламируемые в <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, то теперь киберпреступники делают ставку на правдоподобные сообщения о нарушении авторских прав. Для убедительности в письмах используются реальные идентификаторы страниц в соцсетях и данные о владельцах компаний.
Сообщения отправляются с аккаунтов Gmail, чтобы не вызвать подозрений, и содержат ссылки на Dropbox, откуда скачиваются архивы ZIP или MSI-инсталляторы. Эти файлы запускают технику DLL Sideloading: через легитимные исполняемые файлы Haihaisoft PDF Reader подгружается вредоносная DLL-библиотека. Перед активацией самого стилера скрипты на batch-языке изменяют записи в реестре Windows для закрепления в системе.
Одной из главных особенностей обновлённой цепочки стало использование описаний Telegram-групп как скрытых каналов для получения адреса управляющего сервера paste[.]rs. Такая схема позволяет затруднить блокировку инфраструктуры и отслеживание кампании. Дополнительно применяются методы уклонения: архивы с кодировкой Base64, встроенные средства Windows вроде certutil.exe, загрузка и выполнение полезной нагрузки в памяти без записи на диск. Всё это заметно усложняет обнаружение угрозы.
Сам Noodlophile представляет собой полнофункциональный стилер. Он собирает информацию о системе, извлекает данные из браузеров, а также способен перехватывать историю посещений. Анализ исходного кода показал, что разработка продолжается: предусмотрены, но пока не активированы функции кейлоггинга, снятия скриншотов, мониторинга процессов, шифрования файлов, передачи документов и сетевых сведений. Это говорит о намерении авторов превратить программу в универсальный шпионский инструмент.
Акцент на краже данных из браузеров объясняется интересом злоумышленников к корпоративным аккаунтам в соцсетях, особенно на платформе Facebook. Там компании ведут страницы с большой аудиторией и часто привязывают к ним финансовые инструменты. В перспективе расширение возможностей Noodlophile может превратить его в серьёзную угрозу для бизнеса, совмещающую шпионаж, кражу паролей и элементы программ-вымогателей.
Кампания по распространению вредоносного ПО Noodlophile выходит на новый уровень и охватывает всё больше стран. Исследователь Morphisec Шмуэль Узян сообщил , что злоумышленники перешли к использованию фишинговых писем, замаскированных под уведомления о нарушении авторских прав, и добавили новые механизмы доставки вредоносного кода. Атаки направлены на компании в США, Европе, странах Прибалтики и Азиатско-Тихоокеанском регионе.
Если раньше Noodlophile продвигался через поддельные ИИ-сервисы, рекламируемые в <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, то теперь киберпреступники делают ставку на правдоподобные сообщения о нарушении авторских прав. Для убедительности в письмах используются реальные идентификаторы страниц в соцсетях и данные о владельцах компаний.
Сообщения отправляются с аккаунтов Gmail, чтобы не вызвать подозрений, и содержат ссылки на Dropbox, откуда скачиваются архивы ZIP или MSI-инсталляторы. Эти файлы запускают технику DLL Sideloading: через легитимные исполняемые файлы Haihaisoft PDF Reader подгружается вредоносная DLL-библиотека. Перед активацией самого стилера скрипты на batch-языке изменяют записи в реестре Windows для закрепления в системе.
Одной из главных особенностей обновлённой цепочки стало использование описаний Telegram-групп как скрытых каналов для получения адреса управляющего сервера paste[.]rs. Такая схема позволяет затруднить блокировку инфраструктуры и отслеживание кампании. Дополнительно применяются методы уклонения: архивы с кодировкой Base64, встроенные средства Windows вроде certutil.exe, загрузка и выполнение полезной нагрузки в памяти без записи на диск. Всё это заметно усложняет обнаружение угрозы.
Сам Noodlophile представляет собой полнофункциональный стилер. Он собирает информацию о системе, извлекает данные из браузеров, а также способен перехватывать историю посещений. Анализ исходного кода показал, что разработка продолжается: предусмотрены, но пока не активированы функции кейлоггинга, снятия скриншотов, мониторинга процессов, шифрования файлов, передачи документов и сетевых сведений. Это говорит о намерении авторов превратить программу в универсальный шпионский инструмент.
Акцент на краже данных из браузеров объясняется интересом злоумышленников к корпоративным аккаунтам в соцсетях, особенно на платформе Facebook. Там компании ведут страницы с большой аудиторией и часто привязывают к ним финансовые инструменты. В перспективе расширение возможностей Noodlophile может превратить его в серьёзную угрозу для бизнеса, совмещающую шпионаж, кражу паролей и элементы программ-вымогателей.
- Источник новости
- www.securitylab.ru
