Sofistike bir kimlik avı kampanyası, önemli sosyal medya ayak izlerine sahip işletmeleri hedeflemeye ve gelişmiş nozlopil çalma kötü amaçlı yazılımlarını sunmak için silahlandırılmış telif hakkı ihlali bildirimlerinden yararlandı.
Bu son derece hedeflenen tehdit, önceki yinelemelerden önemli bir yükselmeyi temsil ederek, belirli Facebook sayfalarında telif hakkı ihlallerini iddia eden titizlikle hazırlanmış mızrak aktı e-postaları aracılığıyla işletmelerin sosyal medya platformlarına güvenmesini kullanıyor.
Kampanya, hedefleme metodolojisinde benzeri görülmemiş bir hassasiyet göstermektedir, tehdit aktörleri Facebook sayfası kimlikleri ve şirket sahipliği bilgileri de dahil olmak üzere belirli ayrıntıları toplamak için kapsamlı keşif yapmaktadır.
Bu kişiselleştirilmiş saldırılar, öncelikle kilit çalışanları ve info@ ve destek@ gibi genel organizasyonel gelen kutuları hedefler ve alıcıları kanıt dosyaları olarak gizlenmiş kötü amaçlı bağlantıları tıklamaya baskı yapan yasal tehditler yoluyla aciliyet duygusu yaratır.
Morphisec analistleri, bu gelişmiş kampanyanın İngilizce, İspanyol, Lehçe ve Letonyalı kapsayan çok dilli içerik kullandığını, yerelleştirme ve daha geniş küresel erişim için yapay zekadan yararlandığını belirledi.
.webp)
Sofistike, meşru yazılım güvenlik açıklarını ve algılama çabalarını önemli ölçüde karmaşıklaştıran gizlenmiş evreleme mekanizmalarını içeren basit e -posta cazibelerinin ötesine uzanır.
Sahte AI video üretim platformlarına dayanan selefinden farklı olarak, mevcut noodlophile varyant, Haihaisoft PDF okuyucu ve Excel dönüştürücüler de dahil olmak üzere DLL yan yüklemeye karşı savunmasız olan meşru, dijital olarak imzalanmış uygulamalardan yararlanır.
Kötü amaçlı yazılım operatörleri iki yenilikçi sömürü tekniği geliştirdiler: özyinelemeli saplama yükleme ve her ikisi de güvenilir süreçler içinde gizli bir şekilde kötü niyetli kod yürütmek için tasarlanmış zincirli DLL güvenlik açıkları.
Gelişmiş teslimat ve kalıcılık mekanizmaları
Kötü amaçlı yazılımın dağıtım mekanizması, kaçış tekniklerinde bir masterclass’ı temsil eder ve yükleri dağıtmak için TinyURL yönlendirmeleri tarafından maskelenen damla kutusu bağlantılarını kullanır.
Bu arşivler, .docx dosyaları olarak yeniden adlandırılan toplu komut dosyaları ve .png dosyaları olarak poz veren arşivleri, meşru uygulamalarda yüklenen kötü amaçlı kütüphaneler aracılığıyla yürütülen dikkatle gizlenmiş eserler içerir.
Başarılı DLL yan yüklemenin ardından kampanya, kötü niyetli DLL’lerin yarasa komut dosyalarını ve taşınabilir Python tercümanlarını ortaya çıkarmak için ek dosyaları yeniden adlandırdığı bir ara evreleme işlemi sunar.
Kalıcılık mekanizması, kayıt defteri değişiklikleri yoluyla çalışır. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunPython tercümanlarını kötü amaçlı komut dosyalarıyla başlatan cmd.exe komutları aracılığıyla yürütme kurulması.
Geliştirilmiş gizleme katmanı, Telegram Grubu açıklamalarından URL’leri çıkarır ve Paste.RS gibi platformlarda son aşamaları barındırırken dinamik yük yürütmesini sağlar.
Bu telgraf tabanlı komut ve kontrol altyapısı, bellek içi yürütme yetenekleriyle birleştiğinde, geleneksel disk tabanlı algılama yöntemlerini önemli ölçüde karmaşıklaştırır ve stealer dağıtım stratejilerindeki ilgili bir evrimi temsil eder.
Noodlophile Stealer’ın mevcut yetenekleri, sofistike SQL sorguları aracılığıyla web kimlik bilgilerini, otomatik doldurma verilerini ve Facebook çerezlerini hedefleyen tarayıcı tabanlı veri hırsızlığına odaklanır.
Kod tabanı, AMSI ve ETW kurcalama yoluyla ekran görüntüsü yakalama, anahtarlog ve potansiyel EDR bypass mekanizmalarına planlanan genişlemeleri gösteren yer tutucu işlevlerini ortaya çıkarır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.