Los actores de amenaza detrás del malware de Noodlophile están aprovechando correos electrónicos de phishing de alabarda y mecanismos de entrega actualizados para desplegar el robador de información en ataques dirigidos a empresas ubicadas en los Estados Unidos, Europa, los países bálticos y la región de Asia-Pacífico (APAC).
«La campaña Noodlophile, activa durante más de un año, ahora aprovecha los correos electrónicos avanzados de phishing de alabarda que se hacen acaecer por avisos de infracción de derechos de autor, adaptados con detalles derivados de reconocimientos como ID de página de Facebook específicas e información de propiedad de la compañía», dijo el investigador de Morphisec, Shmuel Uzan, en un mensaje compartido con las noticiario del hacker.
Noodlophile fue detallado previamente por el proveedor de ciberseguridad en mayo de 2025, descubriendo el uso de los atacantes de herramientas falsas de inteligencia industrial (IA) como señuelos para propagar el malware. Se descubrió que estos programas falsificados se anunciaron en plataformas de redes sociales como Facebook.
Dicho esto, la acogida de señuelos por infracción de derechos de autor no es un avance nuevo. En noviembre de 2024, Check Point descubrió una operación de phishing a gran escalera que se dirigió a individuos y organizaciones bajo la falsa premisa de violaciones de infracción de derechos de autor para dejar caer al robador de Rhadamanthys.
Pero la última iteración de los ataques de noodlophile exhibe una desviación sobresaliente, particularmente cuando se tráfico del uso de vulnerabilidades de software legítimas, puesta en número ofondeada a través de Telegram y la ejecución dinámica de la carga útil.
Todo comienza con un correo electrónico de phishing que averiguación engañar a los empleados para que descarguen y ejecuten cargas aperos maliciosas al inducir un desleal sentido de necesidad, reclamando violaciones de derechos de autor en páginas específicas de Facebook. Los mensajes se originan en cuentas de Gmail en un esfuerzo por evitar la sospecha.
Presente en el interior del mensaje hay un enlace de Dropbox que deja caer un instalador ZIP o MSI, que, a su vez, resuelve una DLL maliciosa que utiliza binarios legítimos asociados con Haihaisoft PDF Reader para que finalmente pasada el robador de noodlofilos ofuscados, pero no antiguamente de ejecutar scripts de lotes para establecer la persistencia de la persistencia.
Lo sobresaliente de la cautiverio de ataque es que aprovecha las descripciones del congregación de telegrama como un resolución de caída muerta para obtener el servidor verdadero («Paste (.) RS») que aloja la carga útil del robador para desafiar la detección y los esfuerzos de exterminio.
«Este enfoque se pedestal en las técnicas de la campaña precedente (p. Ej., Archivos codificados en Base64, injusticia de Lolbin como certutil.exe), pero agrega capas de esparcimiento a través de la ejecución de comando y control y control basada en telegramas para evitar la detección basada en disco», dijo Uzan.
Noodlophile es un robador completo que puede capturar datos de los navegadores web y resumir información del sistema. El exploración del código fuente del robador indica esfuerzos de avance continuos para ampliar sus capacidades para solucionar la captura de captura de pantalla, el keylogging, la exfiltración de archivos, el monitoreo de procesos, la compendio de información de red, el secreto de archivos y la linaje del historial del navegador.
«La extensa orientación de los datos del navegador subraya el enfoque de la campaña en las empresas con importantes huellas de redes sociales, particularmente en plataformas como Facebook», dijo Morphisec. «Estas funciones no implementadas indican que los desarrolladores del robador están trabajando activamente para expandir sus capacidades, lo que potencialmente lo transforma en una amenaza más versátil y peligrosa».
