Noodlophile Stealer: Campanie de phishing care vizează companiile cu amprentă puternică pe Facebook

Securitate
technewsro11Leave a Comment on Noodlophile Stealer: Campanie de phishing care vizează companiile cu amprentă puternică pe Facebook
Spread the love

O nouă campanie de atac cibernetic, bazată pe malware-ul Noodlophile Stealer, ridică nivelul de sofisticare al phishingului prin drepturi de autor. Țintind companii cu prezență semnificativă pe Facebook, atacatorii folosesc e-mailuri personalizate, tehnici avansate de livrare și metode de evitare a detectării pentru a fura date sensibile.

Cum funcționează atacul

Campania folosește e-mailuri de spear-phishing care se prezintă drept notificări oficiale de încălcare a drepturilor de autor. Mesajele includ:

  • Detalii reale despre paginile de Facebook ale victimei (ID-uri, nume de companie).
  • Ton urgent și amenințări legale.
  • Linkuri mascate ca fișiere PDF cu „dovezi” ale încălcării.

E-mailurile sunt trimise în mai multe limbi (engleză, spaniolă, poloneză, letonă), posibil traduse cu ajutorul AI, și provin adesea din conturi Gmail pentru a evita suspiciunile.

Metode de livrare

Spre deosebire de campaniile anterioare, Noodlophile folosește acum aplicații legitime vulnerabile la DLL side-loading, precum:

  • Haihaisoft PDF Reader
  • Convertoare Excel

Atacatorii exploatează aceste aplicații prin:

  • Recursive Stub Loading – încărcarea recursivă a DLL-urilor malițioase.
  • Chained DLL Vulnerabilities – exploatarea lanțurilor de vulnerabilități din DLL-uri legitime.

Fișierele malițioase sunt distribuite prin linkuri Dropbox mascate cu TinyURL și arhive cu extensii înșelătoare (.docx, .png) care rulează scripturi BAT sau interpretoare Python.

Persistență și control

După infectare:

  • Scripturile BAT creează chei de registry pentru pornire automată.
  • Unele variante descarcă fișiere suplimentare deghizate.
  • URL-ul sarcinii utile este obținut din descrierea unui grup Telegram, ceea ce permite schimbarea rapidă a locației fișierului.
  • Executarea are loc în memorie, reducând șansele de detectare.

Ce fură Noodlophile

În prezent, malware-ul colectează:

  • Cookie-uri și date de autentificare din browsere (Chrome, Edge, Brave, Opera).
  • Date de carduri bancare salvate.
  • Informații despre sistem și software de securitate instalat.

Persistența este menținută prin folderul Startup, iar fișierele se auto-șterg după execuție.

Posibile evoluții

Codul conține funcții neimplementate care sugerează viitoare capabilități:

  • Captură de ecran
  • Keylogging
  • Exfiltrare fișiere
  • Criptare
  • Monitorizare procese și rețea

Se preconizează și integrarea unui modul .NET pentru a ocoli AMSI și ETW, ceea ce ar îngreuna detectarea de către soluțiile EDR.

Cum te poți proteja

Experții Morphisec recomandă tehnologii de tip AMTD (eliminarea suprafeței de atac) pentru a bloca infostealerii înainte de execuție. Raportul complet include și Indicatori de Compromitere (IOC) – domenii, linkuri, ID-uri Telegram și hash-uri de fișiere – care pot fi folosiți pentru detecție și prevenție

Tagged
technewsro
http://technewsro.blog

Related Posts

Securitatea cibernetică și avertismentele Poliției Germane privind Office 365

technewsro

O noua vulnerabilitate Wi-Fi permite interceptarea rețelei

technewsro

TapTrap: Atacul Invizibil Care Amenință Dispozitivele Android

technewsro

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *