Целевые атаки Noodlophile Stealer на бизнес: фишинг с уведомлениями о нарушении авторских прав

Эволюция тактики: от массовых до целевых атак

Кампания Noodlophile, действующая более года, сменила тактику. Вместо рассылки через фейковые AI-сервисы злоумышленники применяют многоязычные spear-phishing письма (на английском, испанском, польском, латышском), направленные конкретно на сотрудников компаний. Письма поступают на корпоративные адреса (info@, support@) или ключевым сотрудникам, содержат точные данные: идентификаторы страниц Facebook* (Page ID) и сведения о владельцах компаний. Это указывает на тщательную предварительную разведку.

Уведомления оформлены как требования юристов или медиакомпаний срочно проверить "доказательства нарушений" (например, "View Copyright Infringement Evidence.pdf"). Ссылки ведут на сокращённые URL (TinyURL), перенаправляющие на Dropbox. Там размещены вредоносные архивы, маскирующиеся под документы.

Технические инновации: двойная эксплуатация уязвимостей

Главное отличие от прошлых версий - использование уязвимостей в подписанных легитимных приложениях, таких как Haihaisoft PDF Reader и Excel-конвертеры. Атака реализуется через два новых метода:

Рекурсивная загрузка: Внедряется небольшой "загрузчик" (stub), который через зависимости таблицы импорта (IAT) рекурсивно загружает вредоносную DLL.
Цепочка уязвимостей: Эксплуатируется легитимная DLL с собственной уязвимостью side-loading, что позволяет скрытно выполнять код внутри доверенного процесса.

После запуска вредоносные библиотеки переименовывают файлы в архиве (например, .bat скрипты маскируются под .docx или .pptx), раскрывая Python-интерпретаторы и скрипты. Последние обеспечивают постоянство через записи в реестре (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) и загрузку дополнительных компонентов.

Усложнённая обфускация и Telegram-инфраструктура

Скрипты, в отличие от прошлых версий, усиленно обфусцированы. Ключевое нововведение - динамическое извлечение URL для следующей стадии атаки из описания групп Telegram. Финальный стилер размещается на бесплатных платформах вроде paste[.]rs, что затрудняет блокировку. Выполнение происходит в памяти, минуя запись на диск, для обхода систем защиты.

Расширенные возможности кражи данных

Текущая версия Noodlophile Stealer фокусируется на извлечении критически важной информации:

• Данные браузеров: Cookies (особенно cookies.sqlite для Facebook), автозаполнение форм, история входов (logins.json для Gecko, Login Data для Chrome).
• Платёжные реквизиты: Сохранённые данные кредитных карт, включая CVC-коды, обходя защиту Chrome через RmStartSession.
• Системная информация: Данные об установленном ПО безопасности (через WMI-запросы к AntiVirusProduct), характеристики системы (Win32_ComputerSystem, Win32_OperatingSystem), имя компьютера.

Поддерживаются Chrome, Brave, Edge, Opera и другие браузеры. После выполнения стилер самоликвидируется и сохраняет присутствие через директорию автозагрузки (Programs\Startup).

Тревожные перспективы: сигналы будущего развития

Анализ кода выявил нереализованные функции, указывающие на активную разработку:

• Захват скриншотов, кейлоггинг, эксфильтрация файлов.
• Мониторинг процессов, сбор сетевых данных, анализ истории браузеров.
• Шифрование файлов, проверка расширений браузеров.
• Инструмент для обхода систем защиты (.NET executable для сбоя AMSI/ETW), потенциально нейтрализующий EDR-решения.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

URLs

• http://15.235.172.219/vmeo/getlink?id=dcaathur
• http://15.235.172.219/vmeo/link/dcaathur.txt
• http://160.25.232.62/bee/BEE02_H.txt
• http://160.25.232.62/vmeo/getlink?id=bee02h
• http://196.251.84.144/suc/And_st.txt
• http://196.251.84.144/suc/zk2.txt
• https://0x0.st/8fVG.txt
• https://goo.su/aSqtBmg
• https://is.gd/PvLoKt
• https://paste.rs/Gc2BJ
• https://pastebin.pl/view/raw/ae4cceca
• https://t.ly/cCEsy
• https://t.ly/EidCollection1112
• https://t.ly/RossiDoria&Associati
• https://t.ly/rsyAl
• https://t.ly/TimbrGroup
• https://t.ly/vqpvk
• https://t.me/LoneNone
• https://t2m.io/9zPbQxa
• https://t2m.io/Ob4WBcu
• https://t2m.io/SiemensAG
• https://tinyurl.com/2jaj3kws
• https://tinyurl.com/yrnsdpfk
• https://tinyurl.com/yy2smhn2
• https://tinyurl.com/yz6yy4ta
• https://www.dropbox.com/scl/fi/e21ecfnbmg49fvqp4ouyd/Prove

SHA256

• 0ba36c80167919a98cffc002cf6819d3f5e117207e901aebd13e3ea54387e51f
• 2e610c97e5bae10966811b78fc9e700117123b6a12953bf819ced9b25eb9a507
• 320555e241025b8427e1a3ccfc62f0c5a2347cfd86d29f33709192e2e9cbbac2
• 3c3cee4579e78c9d39b96804815c71c7a2de17951e08d703197c9c7ed20ab9f3
• 5ad456333451fcbd69977a62d4728b1fc8b5bdebee763d2b6725226078daeaf8
• 693789e4b9fb280fa32541e9a548b7fefd98775b8f075e370464db3764bb15b9
• 69d6582d7550817f792f3287fa91788e7b9252b63d81a380a5e1ca9aa0629150
• 707223112e8ced786e7d1ed43224e73606b3e2efec615bb3a22fe8cc11d3bb54
• 844c2ee464ef5cdc79c2de52eb544c55e1f9bf7ded2c2f0e44bed263f04daa42
• 95d964efc32dd04b5ae05bfc251ce470e8c418398efc97697f41807f33e7390d
• 9f2205e06231cf53824421aa09e6a43d5a9c5513618e08e4eaacfd94b91c5e61
• a05cf0002a135ade9771a1aa48109cc8aa104e7afa1c56af998f9aba2a1e3f05
• a6647dd104487deb71674c64d8a2b03843cd3d32ee2c9a63cc3ea506d8b00552
• af2dfa1fcd055aaf0c818f49c7c4f4370629ac6eecadbcd532a1149a7e01ec11
• b3aa210a51e19dd003d35721a18b7fb5c0741dce01dd7725ff610de4adf0a8f2
• c213a15add88e8c1cbb06fc4690c02046fa74027848bcb97c7d961ffc21155c6
• ce69fa159fb53c9a7375ef66153d94480c9a284e373ce8bf22953268f21b2eb2
• d0b0551e8988a9f81b80933ec68efabb47cd12acaeffa79c42564863424a376e
• fac94a650cd57b9e8da397816fa8ddd3217dd568eaba1e46909640cbf2f0a29c