Los actores de amenaza detrás del malware de Noodlophile están aprovechando correos electrónicos de phishing de aguijada y mecanismos de entrega actualizados para desplegar el robador de información en ataques dirigidos a empresas ubicadas en los Estados Unidos, Europa, los países bálticos y la región de Asia-Pacífico (APAC).
“La campaña Noodlophile, activa durante más de un año, ahora aprovecha los correos electrónicos avanzados de phishing de aguijada que se hacen tener lugar por avisos de infracción de derechos de autor, adaptados con detalles derivados de reconocimientos como ID de página de Facebook específicas e información de propiedad de la compañía”, dijo el investigador de Morphisec, Shmuel Uzan, en un documentación compartido con las noticiario del hacker.
Noodlophile fue detallado previamente por el proveedor de ciberseguridad en mayo de 2025, descubriendo el uso de los atacantes de herramientas falsas de inteligencia fabricado (IA) como señuelos para propagar el malware. Se descubrió que estos programas falsificados se anunciaron en plataformas de redes sociales como Facebook.
Dicho esto, la admisión de señuelos por infracción de derechos de autor no es un explicación nuevo. En noviembre de 2024, Check Point descubrió una operación de phishing a gran escalera que se dirigió a individuos y organizaciones bajo la falsa premisa de violaciones de infracción de derechos de autor para dejar caer al robador de Rhadamanthys.
Pero la última iteración de los ataques de noodlophile exhibe una desviación extraordinario, particularmente cuando se tráfico del uso de vulnerabilidades de software legítimas, puesta en número ofondeada a través de Telegram y la ejecución dinámica de la carga útil.
Todo comienza con un correo electrónico de phishing que exploración engañar a los empleados para que descarguen y ejecuten cargas avíos maliciosas al inducir un apócrifo sentido de necesidad, reclamando violaciones de derechos de autor en páginas específicas de Facebook. Los mensajes se originan en cuentas de Gmail en un esfuerzo por escamotear la sospecha.
Presente interiormente del mensaje hay un enlace de Dropbox que deja caer un instalador ZIP o MSI, que, a su vez, resuelve una DLL maliciosa que utiliza binarios legítimos asociados con Haihaisoft PDF Reader para que finalmente acontecimiento el robador de noodlofilos ofuscados, pero no ayer de ejecutar scripts de lotes para establecer la persistencia de la persistencia.
Lo extraordinario de la condena de ataque es que aprovecha las descripciones del liga de telegrama como un resolución de caída muerta para obtener el servidor positivo (“Paste (.) RS”) que aloja la carga útil del robador para desafiar la detección y los esfuerzos de matanza.
“Este enfoque se basamento en las técnicas de la campaña antecedente (p. Ej., Archivos codificados en Base64, desmán de Lolbin como certutil.exe), pero agrega capas de esparcimiento a través de la ejecución de comando y control y control basada en telegramas para evitar la detección basada en disco”, dijo Uzan.
Noodlophile es un robador completo que puede capturar datos de los navegadores web y compendiar información del sistema. El descomposición del código fuente del robador indica esfuerzos de explicación continuos para ampliar sus capacidades para proveer la captura de captura de pantalla, el keylogging, la exfiltración de archivos, el monitoreo de procesos, la sumario de información de red, el secreto de archivos y la cuna del historial del navegador.
“La extensa orientación de los datos del navegador subraya el enfoque de la campaña en las empresas con importantes huellas de redes sociales, particularmente en plataformas como Facebook”, dijo Morphisec. “Estas funciones no implementadas indican que los desarrolladores del robador están trabajando activamente para expandir sus capacidades, lo que potencialmente lo transforma en una amenaza más versátil y peligrosa”.
