Başlangıçta sahte AI video üretim platformlarından yararlanan kampanyalarda ortaya çıkarılan Noodlophile Stealer kötü amaçlı yazılımları, işletmeleri önemli Facebook varlıklarıyla sızmak için telif hakkı ihlali bildirimlerini silahlandıran hedefli bir mızrak avı operasyonuna dönüştü.
Bir yılı aşkın bir süredir aktif olan bu güncellenmiş varyant, geniş sosyal medya yemlerinden, belirli Facebook sayfası kimlikleri ve şirket mülkiyeti verileri gibi keşif türlü ayrıntıları dahil ederek, tüzel kişileri taklit eden son derece kişiselleştirilmiş e-postalara geçer.
Genellikle ilk incelemeden kaçınmak için Gmail hesaplarından gönderilen bu kimlik avı girişimleri, İngilizce, İspanyolca, Lehçe ve Letonya gibi dillerde potansiyel olarak yapay zeka üretilen çok dilli içerik kullanıyor, ABD, Avrupa, Baltık Bölgeleri ve APAC genelinde küresel erişimlerini genişletiyor.
İddia edilen ihlaller hakkında acil eylem talep ederek, saldırganlar Baskı Kilit çalışanları veya Info@ veya Destek@ gibi jenerik gelen kutuları, “Telif Hakkı İhlali Kanıtları” gibi kanıt dosyaları olarak gizlenmiş kötü amaçlı yükleri indirmeye.
Bu yaklaşım, Rhadamanthys Stealer’ı benzer yasal temalı yemler aracılığıyla dağıtan, ancak meşru yazılım güvenlik açıklığı, telgraf tabanlı evreleme ve dinamik taşıma uygulaması için sömürü yoluyla kendini ayırt eden Check Point ile belgelenen 2024 “Copyrh (Iight) Adamantys” operasyonu gibi geçmiş kampanyaları yansıtır.
Dağıtım mekanizması, Haihaisoft PDF okuyucu ve Excel dönüştürücüler gibi imzalı, meşru uygulamalarda DLL yan yükleme güvenlik açıklarından yararlanan belirgin bir ilerlemeyi temsil eder.
Saldırganlar, ithalat adres tablosu (IAT) bağımlılıkları yoluyla kötü niyetli kodları veya güvenilir süreçler içinde gizlice yürütmek için meşru DLL’lerdeki zincir güvenlik açıkları yoluyla özyinelemeli olarak kötü amaçlı kodları yeniden çağırmak için küçük bir saplama DLL’nin yan yüklendiği özyinelemeli saplama kullanır.
Yük geliştirmeleri
Yükler, .docx veya .pdf uzantıları ile yeniden adlandırılan toplu komut dosyaları veya .png dosyaları olarak ortaya çıkan kendi kendini uzlaştıran arşivler (SFX) gibi toplu komut dosyalarına sahip arşivler içeren arşivler içeren arşivler içeren Dropbox bağlantıları aracılığıyla yayılır.
Yürütme üzerine, bunlar DLL’lerin yarasa komut dosyalarını ve taşınabilir Python tercümanlarını ortaya çıkarmak için dosyaları yeniden adlandırdığı bir ara evreleme aşamasını tetikler ve HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentersion \ RUN altında kayıt defteri anahtarları yoluyla kalıcılık oluşturur.
Varyantlar, uzak sunuculardan ek gizlenmiş dosyaları indirebilir ve macunun gibi platformlardan dinamik yük alımı için telgraf grubu açıklamalarından url’leri çıkaran gelişmiş gizleme katmanlarına geçebilir.
Stealer’ın kendisi, tarayıcı kimlik bilgilerine, otomatik doldurma verilerine, çerezlere (özellikle Facebook’un çerezleri.sqlite), kertenkele girişleri, krom giriş verileri ve kredi kartı bilgilerine odaklanarak, rmstartsession gibi korumaları atlayan sorgular aracılığıyla geliştirilmiş veri hırsızlığı özelliklerine sahiptir.
Ayrıca, antivirüs üretiminde WMI sorguları yoluyla güvenlik yazılımını numaralandırır, Win32_Computersystem ve Win32_operatingsystem aracılığıyla sistem bilgilerini toplar ve kendi kendine iskelet kullanırken \ startup programlarında kalıcılığı korur.
Yerellik yakalama, keylogging, dosya eksfiltrasyonu, ağ keşfi, tarayıcı uzatma kontrolleri, dosya şifreleme ve tarayıcı geçmişi ekstraksiyonunun yanı sıra, EDR çözümleri için potansiyel AMSI ve Etw.
Bu evrim, Noodlophile’ın uyarlanabilirliğinin altını çiziyor ve işletmelerin kimlik bilgisi hasat ve potansiyel hesap devralmaları için sosyal medya ayak izlerini hedef alıyor.
Rapora göre, güvenlik liderleri statik saldırı yüzeylerinden yararlanan bu tür infostalerlere karşı savunmalara öncelik vermelidir.
Morphisec’in Otomatik Hareketli Hedef Savunma (AMTD) gibi teknolojiler, dinamik olarak yeniden şekillendirerek önleyici koruma, imzalara veya davranışsal sezgisel tarama güvenmeden yürütmeden önce tehditleri nötralize eder.
Noodlophile taktiklerini geliştirmeye devam ettikçe, kuruluşlar e -posta filtrelemesini geliştirmeli, düzenli kimlik avı farkındalığı eğitimi almalı ve bu silahlı telif hakkı cazibelerinden kaynaklanan riskleri azaltmak için uzlaşma göstergelerini izlemelidir.
Uzlaşma temel göstergeleri (IOCS)
| Kategori | Örnekler |
|---|---|
| E -posta Desenleri | Gönderen: gmail.com; Konular: Telif hakkı ihlali bildirimi, acil eylem gerekli; İfadeler: “Anında Eylem Gerekli”, “Yasal Temsilciler”, “Facebook Sayfa Kimliği” |
| URL’ler/Etki Alanları | https://is.gd/pvlokt, https://paste.rs/gc2bj, http://196.251.84.144/suc/zk2.txt, https, 7913144042: aagjalvuulprugnbqd8d4o33scwpa0gjpue, 741494371: aahsrqdkprevyz9z0roirs5fjki-ihkjpzq |
| Dosya | CE69FA159FB53C9A737EF66153D94480C9A284E373CE8BF22953268F21B2B2 (DCAATHUR), Fac94a650cd57b9e8da397816fa8dd3217dd568eaa1e46909640cbf2f0a29c (DCAAT) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!