Получили письмо о нарушении авторских прав? Осторожно: внутри может скрываться вирус, который разорит ваш бизнес

Вредоносная кампания Noodlophile расширяет географию атак и совершенствует методы. Специалист Morphisec Шмуэль Узян заявил об использовании фишинговых писем, имитирующих уведомления о нарушении авторских прав, а также внедрении новых способов распространения вредоносного кода. Под прицелом злоумышленников – организации в США, Европе, Прибалтике и Азиатско-Тихоокеанском регионе.

Если ранее распространение Noodlophile происходило через фейковые ИИ-сервисы в Facebook, то теперь злоумышленники делают акцент на убедительных сообщениях о нарушении авторских прав. Для большей правдоподобности используются реальные идентификаторы страниц соцсетей и данные о владельцах компаний.

Сообщения рассылаются с учетных записей Gmail для снижения бдительности, содержат ссылки на Dropbox, откуда загружаются ZIP-архивы или MSI-инсталляторы. Эти файлы активируют технику DLL Sideloading: с помощью легитимных исполняемых файлов Haihaisoft PDF Reader загружается вредоносная DLL-библиотека. Скрипты на batch-языке, перед запуском стилера, изменяют записи в реестре Windows для обеспечения автозапуска.

Особенностью обновленной схемы является использование описаний Telegram-групп в качестве скрытых каналов для получения адреса управляющего сервера paste[.]rs. Это затрудняет блокировку инфраструктуры и отслеживание кампании. Используются методы сокрытия: архивы с кодировкой Base64, штатные инструменты Windows (certutil.exe), загрузка и выполнение вредоносного кода в памяти, что усложняет обнаружение.

Noodlophile представляет собой многофункциональный стилер, собирающий данные о системе, извлекающий информацию из браузеров, и перехватывающий историю посещений. Анализ кода показывает, что разработка продолжается: предусмотрены, но пока неактивны функции кейлоггинга, снятия скриншотов, мониторинга процессов, шифрования файлов, передачи документов и сетевых данных. Цель авторов – превратить его в универсальный инструмент для шпионажа.

Интерес к данным из браузеров обусловлен стремлением злоумышленников к корпоративным аккаунтам в соцсетях, в частности, Facebook, где компании ведут страницы с большой аудиторией и привязанными финансовыми инструментами. В будущем, с расширением функциональности, Noodlophile может стать серьезной угрозой для бизнеса, сочетая шпионаж, кражу паролей и элементы программ-вымогателей.