Os atores de ameaças por trás do malware Noodlophile estão utilizando e-mails de spear-phishing e mecanismos de entrega atualizados para implantar o ladrão de informações em ataques direcionados a empresas localizadas nos EUA, Europa, países do Báltico e na região Ásia-Pacífico (APAC).
"A campanha Noodlophile, ativa por mais de um ano, agora utiliza e-mails de spear-phishing avançados, se passando por notificações de infração de direitos autorais, personalizados com detalhes derivados de reconhecimento, como IDs específicos de Páginas do Facebook e informações de propriedade de empresas," disse o pesquisador da Morphisec, Shmuel Uzan, em um relatório compartilhado com o site The Hacker News.
O Noodlophile foi detalhado anteriormente pelo fornecedor de cibersegurança em maio de 2025, revelando o uso de ferramentas falsas de inteligência artificial (AI) como iscas para propagar o malware.
Estes programas falsificados foram encontrados sendo anunciados em plataformas de mídias sociais como o Facebook.
Dito isso, a adoção de iscas de violação de direitos autorais não é um desenvolvimento novo.
Em novembro de 2024, a Check Point descobriu uma operação de phishing em larga escala que visava indivíduos e organizações sob o falso pretexto de violações de direitos autorais para distribuir o Rhadamanthys Stealer.
Mas a última iteração dos ataques do Noodlophile exibe uma notável desvio, especialmente quando se trata do uso de vulnerabilidades de software legítimas, estagiamento ofuscado via Telegram e execução de payload dinâmica.
Tudo começa com um e-mail de phishing que busca enganar os funcionários para baixar e executar payloads maliciosos, induzindo um falso sentido de urgência, alegando violações de direitos autorais em Páginas específicas do Facebook.
As mensagens se originam de contas do Gmail em um esforço para evitar suspeitas.
Presente na mensagem está um link do Dropbox que solta um instalador ZIP ou MSI, que, por sua vez, carrega lateralmente um DLL malicioso usando binários legítimos associados ao Haihaisoft PDF Reader para, finalmente, lançar o Noodlophile stealer ofuscado, mas não antes de executar scripts em lote para estabelecer persistência usando o Registro do Windows.
O que é notável sobre a cadeia de ataque é que ela aproveita as descrições de grupos do Telegram como um resolvedor dead drop para buscar o servidor real ("paste[.]rs") que hospeda o payload do stealer para desafiar esforços de detecção e remoção.
"Esta abordagem se baseia nas técnicas da campanha anterior (por exemplo, arquivos codificados em Base64, abuso de LOLBin como certutil.exe), mas adiciona camadas de evasão através do comando-e-controle baseado no Telegram e execução em memória para evitar detecção baseada em disco," disse Uzan.
Noodlophile é um stealer completo que pode capturar dados de navegadores web e reunir informações do sistema.
A análise do código fonte do stealer indica esforços contínuos de desenvolvimento para expandir suas capacidades para facilitar a captura de capturas de tela, keylogging, exfiltração de arquivos, monitoramento de processos, coleta de informações de rede, criptografia de arquivos e extração de histórico de navegação.
"A extensa segmentação de dados de navegador sublinha o foco da campanha em empresas com pegadas significativas de mídia social, particularmente em plataformas como o Facebook," disse a Morphisec.
Estas funções não implementadas indicam que os desenvolvedores do stealer estão trabalhando ativamente para expandir suas capacidades, potencialmente transformando-o em uma ameaça mais versátil e perigosa.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...