Noodlophile kötü amaçlı yazılımların arkasındaki tehdit aktörleri, ABD, Avrupa, Baltık Ülkeleri ve Asya-Pasifik (APAC) bölgesinde bulunan işletmelere yönelik saldırılarda bilgi samançılarını dağıtmak için mızrak-akma e-postalarından ve güncellenmiş teslimat mekanizmalarından yararlanıyor.
Morphisec araştırmacısı Shmuel Uzan, bilgisayar korsanı haberleriyle paylaşılan bir raporda, “Bir yılı aşkın bir süredir aktif olan Noodlophile kampanyası, belirli Facebook sayfası kimlikleri ve şirket sahipliği bilgileri gibi keşif türlü detaylarla uyarlanmış telif hakkı ihlali bildirimleri olarak poz veren gelişmiş mızrak-aktarma e-postalarından yararlanıyor.” Dedi.
Noodlophile daha önce Mayıs 2025’te siber güvenlik satıcısı tarafından detaylandırılmış ve saldırganların kötü amaçlı yazılımları yaymak için cazibe olarak sahte yapay zeka (AI) destekli araçları kullanmasını ortaya çıkarmıştı. Bu sahte programların Facebook gibi sosyal medya platformlarında ilan edildiği bulundu.
Bununla birlikte, telif hakkı ihlallerinin benimsenmesi yeni bir gelişme değildir. Kasım 2024’te Check Point, Rhadamanthys Stealer’ı bırakmak için telif hakkı ihlali ihlallerinin sahte öncüsü altında bireyleri ve kuruluşları hedefleyen büyük ölçekli bir kimlik avı operasyonunu ortaya çıkardı.
Ancak, Noodlophile saldırılarının en son yinelemesi, özellikle meşru yazılım güvenlik açıklarının kullanılması, telgraf yoluyla gizlenmiş evreleme ve dinamik yük yürütmesi söz konusu olduğunda dikkate değer bir sapma sergiler.
Her şey, belirli Facebook sayfalarında telif hakkı ihlallerini talep ederek, yanlış bir aciliyet duygusu uyandırarak çalışanları kötü niyetli yükler indirme ve çalıştırmaya yönelik bir kimlik avı e -postasıyla başlar. Mesajlar, şüphe etmekten kaçınmak için Gmail hesaplarından kaynaklanmaktadır.
Mesajın içinde, bir zip veya MSI yükleyicisini bırakan bir Dropbox bağlantısı vardır, bu da Haihaisoft PDF okuyucusuyla ilişkili meşru ikili dosyaları kullanarak kötü niyetli bir DLL’yi kapsayan, nihayetinde gizlenmiş nozlopil stealer’ı başlatır, ancak Windows Register kullanılarak kalıcılık oluşturmak için toplu beterleri çalıştırmadan önce değil.
Saldırı zinciriyle ilgili dikkate değer olan şey, gerçek sunucuyu almak için Telegram Grubu açıklamalarını ölü bir damla çözücü olarak kullanmasıdır (“Yapıştır[.]RS “) tespit ve yayından kaldırma çabalarına meydan okumak için stealer yükünü barındıran.
Uzan, “Bu yaklaşım, önceki kampanyanın tekniklerine (örn. Base64 kodlu arşivler, certutil.exe gibi lolbin kötüye kullanımı) kuruluyor, ancak disk tabanlı algılamayı önlemek için telgraf tabanlı komut ve kontrol ve bellek içi yürütme yoluyla kaçırma katmanları ekliyor.” Dedi.
Noodlophile, web tarayıcılarından veri yakalayabilen ve sistem bilgileri toplayabilen tam teşekküllü bir stealer’dır. Stealer kaynak kodunun analizi, ekran görüntüsü yakalama, keyloglama, dosya eksfiltrasyonu, işlem izleme, ağ bilgileri toplama, dosya şifreleme ve tarayıcı geçmişi çıkarma işlemini kolaylaştırmak için yeteneklerini genişletmek için devam eden geliştirme çabalarını göstermektedir.
Morphisec, “Tarayıcı verilerinin kapsamlı hedeflenmesi, kampanyanın özellikle Facebook gibi platformlarda önemli sosyal medya ayak izlerine sahip işletmelere odaklanmasını vurgulamaktadır.” Dedi. “Bu uygulanmamış işlevler, stealer’ın geliştiricilerinin yeteneklerini genişletmek için aktif olarak çalıştığını ve potansiyel olarak daha çok yönlü ve tehlikeli bir tehdide dönüştürdüğünü gösteriyor.”