La campagna malware Noodlophile sta ampliando la sua portata globale, mirando a imprese negli Stati Uniti, in Europa, nei Paesi Baltici e nell’area Asia-Pacifico tramite sofisticate strategie di phishing. Il gruppo di cybercriminali dietro Noodlophile utilizza e-mail di spear-phishing che si spacciano per notifiche di violazione del copyright, personalizzate con dettagli ricavati da attività di ricognizione, come ID di pagine Facebook e informazioni su società e proprietà. Questa attenzione ai dettagli serve a rendere i messaggi più credibili agli occhi delle vittime, aumentando la probabilità che esse cadano nell’inganno.

In passato, Noodlophile era stato diffuso tramite falsi strumenti basati su intelligenza artificiale pubblicizzati su social come Facebook. Tuttavia, l’ultima evoluzione della campagna si distingue per l’uso di vulnerabilità software legittime, tecniche di staging offuscate tramite Telegram e un’esecuzione dinamica dei payload malevoli.

Vettore d’attacco e tecniche utilizzate

Il vettore d’attacco inizia con una e-mail di phishing, spesso inviata da account Gmail per evitare sospetti, che avverte di presunte violazioni di copyright su pagine Facebook aziendali. All’interno del messaggio si trova un link Dropbox che conduce a un archivio ZIP o un installer MSI. Questi file installano una DLL malevola sfruttando binari legittimi, come quelli del lettore PDF Haihaisoft, e lanciano lo stealer Noodlophile in modo offuscato. Prima di attivare il malware, vengono eseguiti script batch per garantire la persistenza tramite modifiche al registro di sistema di Windows.

Un elemento chiave della tattica è l’uso delle descrizioni di gruppi Telegram come “dead drop resolver” per recuperare dinamicamente il server di comando e controllo che ospita il payload vero e proprio. Questo metodo, insieme a tecniche di esecuzione in memoria e all’abuso di strumenti di sistema come certutil.exe, rende la campagna più difficile da rilevare e bloccare.

Funzionalità e obiettivi di Noodlophile

Noodlophile è uno stealer completo in grado di rubare dati dai browser, acquisire informazioni di sistema e, secondo l’analisi del codice sorgente, viene costantemente aggiornato per includere nuove funzionalità come keylogging, esfiltrazione di file, monitoraggio dei processi, raccolta di informazioni di rete, cifratura di file e acquisizione della cronologia di navigazione. Il focus su dati relativi ai browser evidenzia l’interesse del gruppo verso aziende con una forte presenza sui social, specialmente su Facebook. Gli sviluppatori del malware sembrano intenzionati a trasformare Noodlophile in una minaccia ancor più versatile e pericolosa per le imprese di tutto il mondo.