Вредоносная кампания Noodlophile, активная уже более года, расширила свой глобальный охват, нацелившись на предприятия в США, Европе, странах Балтии и Азиатско-Тихоокеанском регионе. Основной мишенью становятся организации, активно использующие социальные сети, в частности Ф⃰.
Атака начинается с целевых фишинговых писем, отправляемых с учетных записей Gmail для обхода систем защиты. В письмах содержатся фальшивые уведомления о нарушении авторских прав. Злоумышленники используют методы предварительной разведки, включая в сообщения конкретные идентификаторы страниц Ф⃰ (Ф⃰ Page ID) и информацию о владельцах компаний, чтобы придать своим письмам максимальную убедительность и создать у получателя ложное чувство срочности.
Цель письма — заставить сотрудника перейти по ссылке и загрузить вредоносный файл. Ссылка ведет на облачное хранилище Dropbox, откуда скачивается архив ZIP или установщик MSI. После запуска этот файл инициирует сложную многоэтапную цепочку заражения.
Для исполнения вредоносного кода применяется техника DLL sideloading (загрузка сторонних DLL). Установщик использует легитимные исполняемые файлы, связанные с программой Haihaisoft PDF Reader, чтобы подгрузить и запустить в системе вредоносную библиотеку.
После успешного запуска вредоносное ПО выполняет пакетные скрипты для обеспечения своей устойчивости в системе. Оно прописывает себя в системный реестр Windows, что позволяет ему автоматически запускаться при каждом включении компьютера.
Ключевой особенностью кампании является инновационный метод сокрытия командного сервера (C2). Вместо прямого подключения к серверу вредоносное ПО обращается к описанию публичной группы в мессенджере Telegram. Это описание используется как «мертвая зона» (dead drop resolver), где злоумышленники публикуют зашифрованный адрес своего реального сервера. Такой подход значительно усложняет отслеживание и блокировку инфраструктуры атакующих.
Получив адрес с помощью Telegram, программа подключается к серверу, идентифицированному как "paste[.]rs", и загружает оттуда финальную полезную нагрузку — непосредственно шпионское ПО Noodlophile. Для максимальной скрытности вредоносный код запускается прямо в оперативной памяти, избегая сохранения на диске, что затрудняет его обнаружение антивирусными продуктами.
На текущем этапе Noodlophile функционирует как инфостилер, предназначенный для сбора данных из веб-браузеров и общей информации о системе. Однако анализ исходного кода показал, что его разработчики активно работают над расширением функционала.
В будущих версиях Noodlophile появятся возможности для создания скриншотов, регистрации нажатий клавиш (кейлоггинг), кражи файлов, мониторинга запущенных процессов, сбора сетевой информации, шифрования файлов и извлечения истории браузера. Это свидетельствует о планах по превращению стилера в универсальный и гораздо более опасный инструмент.
Данные о новой волне атак были предоставлены исследователем безопасности Шмуэлем Узаном из компании Morphisec изданию The Hacker News. Он отметил эволюцию кампании по сравнению с предыдущими версиями.
Например, в мае 2025 года (дата указана согласно отчету) кампания Noodlophile использовала другую приманку — поддельные инструменты на базе искусственного интеллекта, рекламируемые в Ф⃰. Тогда для доставки вредоносного ПО применялись архивы в кодировке Base64 и системная утилита Windows
Тактика использования ложных жалоб на авторские права не является уникальной. В ноябре 2024 года компания Check Point раскрыла аналогичную кампанию, нацеленную на частных лиц и организации. Однако в том случае злоумышленники распространяли другой инфостилер — Rhadamanthys Stealer.
Изображение носит иллюстративный характер
Атака начинается с целевых фишинговых писем, отправляемых с учетных записей Gmail для обхода систем защиты. В письмах содержатся фальшивые уведомления о нарушении авторских прав. Злоумышленники используют методы предварительной разведки, включая в сообщения конкретные идентификаторы страниц Ф⃰ (Ф⃰ Page ID) и информацию о владельцах компаний, чтобы придать своим письмам максимальную убедительность и создать у получателя ложное чувство срочности.
Цель письма — заставить сотрудника перейти по ссылке и загрузить вредоносный файл. Ссылка ведет на облачное хранилище Dropbox, откуда скачивается архив ZIP или установщик MSI. После запуска этот файл инициирует сложную многоэтапную цепочку заражения.
Для исполнения вредоносного кода применяется техника DLL sideloading (загрузка сторонних DLL). Установщик использует легитимные исполняемые файлы, связанные с программой Haihaisoft PDF Reader, чтобы подгрузить и запустить в системе вредоносную библиотеку.
После успешного запуска вредоносное ПО выполняет пакетные скрипты для обеспечения своей устойчивости в системе. Оно прописывает себя в системный реестр Windows, что позволяет ему автоматически запускаться при каждом включении компьютера.
Ключевой особенностью кампании является инновационный метод сокрытия командного сервера (C2). Вместо прямого подключения к серверу вредоносное ПО обращается к описанию публичной группы в мессенджере Telegram. Это описание используется как «мертвая зона» (dead drop resolver), где злоумышленники публикуют зашифрованный адрес своего реального сервера. Такой подход значительно усложняет отслеживание и блокировку инфраструктуры атакующих.
Получив адрес с помощью Telegram, программа подключается к серверу, идентифицированному как "paste[.]rs", и загружает оттуда финальную полезную нагрузку — непосредственно шпионское ПО Noodlophile. Для максимальной скрытности вредоносный код запускается прямо в оперативной памяти, избегая сохранения на диске, что затрудняет его обнаружение антивирусными продуктами.
На текущем этапе Noodlophile функционирует как инфостилер, предназначенный для сбора данных из веб-браузеров и общей информации о системе. Однако анализ исходного кода показал, что его разработчики активно работают над расширением функционала.
В будущих версиях Noodlophile появятся возможности для создания скриншотов, регистрации нажатий клавиш (кейлоггинг), кражи файлов, мониторинга запущенных процессов, сбора сетевой информации, шифрования файлов и извлечения истории браузера. Это свидетельствует о планах по превращению стилера в универсальный и гораздо более опасный инструмент.
Данные о новой волне атак были предоставлены исследователем безопасности Шмуэлем Узаном из компании Morphisec изданию The Hacker News. Он отметил эволюцию кампании по сравнению с предыдущими версиями.
Например, в мае 2025 года (дата указана согласно отчету) кампания Noodlophile использовала другую приманку — поддельные инструменты на базе искусственного интеллекта, рекламируемые в Ф⃰. Тогда для доставки вредоносного ПО применялись архивы в кодировке Base64 и системная утилита Windows
certutil.exe. Тактика использования ложных жалоб на авторские права не является уникальной. В ноябре 2024 года компания Check Point раскрыла аналогичную кампанию, нацеленную на частных лиц и организации. Однако в том случае злоумышленники распространяли другой инфостилер — Rhadamanthys Stealer.
