Phishing: Διανομή Noodlophile malware με νέα “δολώματα”
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
https://www.secnews.gr/656267/noodlophile-malware-expands-global-reach/
Aug 19th 2025, 08:40
by Digital Fortress
Media files:
https://www.youtube.com/embed/ur8kg6ur4Vk
Οι hackers πίσω από το info-stealer malware Noodlophile αξιοποιούν spear-phishing emails και αναβαθμισμένους μηχανισμούς διανομής σε επιθέσεις που στοχεύουν επιχειρήσεις στις Η.Π.Α., την Ευρώπη, τις Βαλτικές χώρες και την περιοχή Ασίας-Ειρηνικού (APAC).
Οι επιτιθέμενοι αξιοποιούν spear-phishing emails που εμφανίζονται ως ειδοποιήσεις παραβίασης πνευματικών δικαιωμάτων, επιχειρώντας να εξαπατήσουν εργαζομένους και να εγκαταστήσουν το info-stealer malware.
Σύμφωνα με τον Shmuel Uzan, ερευνητή της Morphisec, η καμπάνια είναι ενεργή για πάνω από ένα χρόνο και πλέον υιοθετεί εξαιρετικά προσαρμοσμένα δολώματα. Αυτά βασίζονται σε πραγματικά δεδομένα, όπως αναγνωριστικά Facebook σελίδων και στοιχεία ιδιοκτησίας εταιρειών, αυξάνοντας έτσι την πιθανότητα επιτυχίας.
Δείτε επίσης: PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
Το Noodlophile malware είχε αναλυθεί ξανά από την εταιρεία κυβερνοασφάλειας, τον Μάιο του 2025, αποκαλύπτοντας τη χρήση ψεύτικων εργαλείων τεχνητής νοημοσύνης (AI) ως δόλωμα για τη διάδοση του κακόβουλου λογισμικού. Αυτά τα ψεύτικα προγράμματα διαφημίζονταν σε πλατφόρμες κοινωνικής δικτύωσης όπως το Facebook.
Η υιοθέτηση δολωμάτων παραβίασης πνευματικών δικαιωμάτων δεν είναι μια νέα εξέλιξη. Τον Νοέμβριο του 2024, η Check Point αποκάλυψε μια άλλη επιχείρηση phishing, μεγάλης κλίμακας, που στόχευε άτομα και οργανισμούς υπό την ψευδή πρόφαση παραβιάσεων πνευματικών δικαιωμάτων. Στόχος ήταν η εγκατάσταση του Rhadamanthys Stealer.
Ωστόσο, η τελευταία εκδοχή των επιθέσεων Noodlophile παρουσιάζει αξιοσημείωτη απόκλιση, ιδιαίτερα όσον αφορά τη χρήση ευπαθειών νόμιμου λογισμικού, το obfuscated staging μέσω Telegram και τη δυναμική εκτέλεση φορτίων. Όλα ξεκινούν με ένα phishing email που προσπαθεί να εξαπατήσει τους υπαλλήλους να κατεβάσουν και να εκτελέσουν κακόβουλα φορτία προκαλώντας μια ψευδή αίσθηση επείγοντος. Οι hackers αναφέρουν παραβιάσεις πνευματικών δικαιωμάτων σε συγκεκριμένα Facebook Pages. Τα μηνύματα προέρχονται από λογαριασμούς Gmail, σε μια προσπάθεια να αποφύγουν τις υποψίες των θυμάτων.
Δείτε επίσης: Elastic EDR: Zero-day επιτρέπει εκτέλεση malware & BSOD
Μέσα στο μήνυμα υπάρχει ένας σύνδεσμος Dropbox που κατεβάζει ένα αρχείο ZIP ή MSI installer, το οποίο, με τη σειρά του, φορτώνει ένα κακόβουλο DLL χρησιμοποιώντας νόμιμα binaries που σχετίζονται με το Haihaisoft PDF Reader. Τελικά, γίνεται η εγκατάσταση του obfuscated Noodlophile malware stealer, αλλά όχι πριν εκτελέσει batch scripts για να εδραιώσει το persistence χρησιμοποιώντας το Windows Registry.
Σύμφωνα με τους ερευνητές, ένα από τα πιο ανησυχητικά χαρακτηριστικά είναι η χρήση Telegram group descriptions ως μηχανισμού απόκρυψης. Μέσω αυτής της τακτικής, το κακόβουλο λογισμικό αντλεί τον πραγματικό C2 server που φιλοξενεί το payload, παρακάμπτοντας κλασικά συστήματα ανίχνευσης.
Το Noodlophile malware είναι ένα ολοκληρωμένο info-stealer που μπορεί να καταγράψει δεδομένα από προγράμματα περιήγησης ιστού και να συλλέξει πληροφορίες συστήματος. Η ανάλυση του πηγαίου κώδικα του stealer υποδεικνύει συνεχιζόμενες προσπάθειες ανάπτυξης για την επέκταση των δυνατοτήτων του. Έτσι, είναι σε θέση να καταγράφει την οθόνη του θύματος, να καταγράφει πληκτρολογήσεις, να εξάγει αρχεία, να παρακολουθεί διεργασίες, να συλλέγει πληροφορίες δικτύου, να κρυπτογραφεί αρχεία και να εξάγει ιστορικό περιήγησης.
"Η εκτεταμένη στόχευση των δεδομένων περιήγησης υπογραμμίζει την εστίαση της εκστρατείας σε επιχειρήσεις με σημαντική παρουσία στα μέσα κοινωνικής δικτύωσης, ιδιαίτερα σε πλατφόρμες όπως το Facebook," ανέφερε η Morphisec. Αυτό υποδεικνύει ότι οι δράστες αναζητούν πρόσβαση σε εταιρικούς λογαριασμούς, διαφημιστικές καμπάνιες και εσωτερικά δεδομένα που μπορούν να αξιοποιηθούν για οικονομικό όφελος ή εκβιασμούς.
Δείτε επίσης: Διαρροή Linux malware (σύνδεση με Βορειοκορεάτες χάκερ)
Noodlophile malware: Πώς μπορούν να προστατευτούν οι επιχειρήσεις
• Εκπαίδευση προσωπικού • Συχνή ενημέρωση για τεχνικές phishing.
• Προσοχή σε emails με "επείγουσα" χροιά ή links προς cloud υπηρεσίες.
• Πολυεπίπεδη άμυνα • Χρήση EDR λύσεων που εντοπίζουν in-memory activity.
• Ενεργοποίηση multi-factor authentication (MFA).
• Έλεγχος social media accounts • Συνεχής παρακολούθηση των εταιρικών προφίλ.
• Περιορισμός των admin δικαιωμάτων σε λίγα, αξιόπιστα άτομα.
• Zero Trust πολιτική • Καμία τυφλή εμπιστοσύνη σε emails ή εξωτερικά links.
• Χρήση sandboxing για ύποπτα αρχεία.
• Incident response plan • Έτοιμα πρωτόκολλα σε περίπτωση μόλυνσης.
• Ταχεία απομόνωση προσβεβλημένων συστημάτων.
Το Noodlophile αποτελεί ξεκάθαρη ένδειξη της εξέλιξης του κυβερνοεγκλήματος: από απλά phishing emails σε πολυεπίπεδες, καμουφλαρισμένες επιθέσεις που συνδυάζουν τεχνική και κοινωνική μηχανική. Οι επιχειρήσεις που επενδύουν σε cybersecurity awareness και προηγμένα εργαλεία ανίχνευσης έχουν σαφές πλεονέκτημα απέναντι σε τέτοιες απειλές.
Πηγή: thehackernews.com
© SecNews.gr - Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
https://www.secnews.gr/656267/noodlophile-malware-expands-global-reach/
Aug 19th 2025, 08:40
by Digital Fortress
Media files:
https://www.youtube.com/embed/ur8kg6ur4Vk
Οι hackers πίσω από το info-stealer malware Noodlophile αξιοποιούν spear-phishing emails και αναβαθμισμένους μηχανισμούς διανομής σε επιθέσεις που στοχεύουν επιχειρήσεις στις Η.Π.Α., την Ευρώπη, τις Βαλτικές χώρες και την περιοχή Ασίας-Ειρηνικού (APAC).
Οι επιτιθέμενοι αξιοποιούν spear-phishing emails που εμφανίζονται ως ειδοποιήσεις παραβίασης πνευματικών δικαιωμάτων, επιχειρώντας να εξαπατήσουν εργαζομένους και να εγκαταστήσουν το info-stealer malware.
Σύμφωνα με τον Shmuel Uzan, ερευνητή της Morphisec, η καμπάνια είναι ενεργή για πάνω από ένα χρόνο και πλέον υιοθετεί εξαιρετικά προσαρμοσμένα δολώματα. Αυτά βασίζονται σε πραγματικά δεδομένα, όπως αναγνωριστικά Facebook σελίδων και στοιχεία ιδιοκτησίας εταιρειών, αυξάνοντας έτσι την πιθανότητα επιτυχίας.
Δείτε επίσης: PyPI: Κακόβουλα πακέτα εκμεταλλεύονται dependency για supply chain attacks
Το Noodlophile malware είχε αναλυθεί ξανά από την εταιρεία κυβερνοασφάλειας, τον Μάιο του 2025, αποκαλύπτοντας τη χρήση ψεύτικων εργαλείων τεχνητής νοημοσύνης (AI) ως δόλωμα για τη διάδοση του κακόβουλου λογισμικού. Αυτά τα ψεύτικα προγράμματα διαφημίζονταν σε πλατφόρμες κοινωνικής δικτύωσης όπως το Facebook.
Η υιοθέτηση δολωμάτων παραβίασης πνευματικών δικαιωμάτων δεν είναι μια νέα εξέλιξη. Τον Νοέμβριο του 2024, η Check Point αποκάλυψε μια άλλη επιχείρηση phishing, μεγάλης κλίμακας, που στόχευε άτομα και οργανισμούς υπό την ψευδή πρόφαση παραβιάσεων πνευματικών δικαιωμάτων. Στόχος ήταν η εγκατάσταση του Rhadamanthys Stealer.
Ωστόσο, η τελευταία εκδοχή των επιθέσεων Noodlophile παρουσιάζει αξιοσημείωτη απόκλιση, ιδιαίτερα όσον αφορά τη χρήση ευπαθειών νόμιμου λογισμικού, το obfuscated staging μέσω Telegram και τη δυναμική εκτέλεση φορτίων. Όλα ξεκινούν με ένα phishing email που προσπαθεί να εξαπατήσει τους υπαλλήλους να κατεβάσουν και να εκτελέσουν κακόβουλα φορτία προκαλώντας μια ψευδή αίσθηση επείγοντος. Οι hackers αναφέρουν παραβιάσεις πνευματικών δικαιωμάτων σε συγκεκριμένα Facebook Pages. Τα μηνύματα προέρχονται από λογαριασμούς Gmail, σε μια προσπάθεια να αποφύγουν τις υποψίες των θυμάτων.
Δείτε επίσης: Elastic EDR: Zero-day επιτρέπει εκτέλεση malware & BSOD
Μέσα στο μήνυμα υπάρχει ένας σύνδεσμος Dropbox που κατεβάζει ένα αρχείο ZIP ή MSI installer, το οποίο, με τη σειρά του, φορτώνει ένα κακόβουλο DLL χρησιμοποιώντας νόμιμα binaries που σχετίζονται με το Haihaisoft PDF Reader. Τελικά, γίνεται η εγκατάσταση του obfuscated Noodlophile malware stealer, αλλά όχι πριν εκτελέσει batch scripts για να εδραιώσει το persistence χρησιμοποιώντας το Windows Registry.
Σύμφωνα με τους ερευνητές, ένα από τα πιο ανησυχητικά χαρακτηριστικά είναι η χρήση Telegram group descriptions ως μηχανισμού απόκρυψης. Μέσω αυτής της τακτικής, το κακόβουλο λογισμικό αντλεί τον πραγματικό C2 server που φιλοξενεί το payload, παρακάμπτοντας κλασικά συστήματα ανίχνευσης.
Το Noodlophile malware είναι ένα ολοκληρωμένο info-stealer που μπορεί να καταγράψει δεδομένα από προγράμματα περιήγησης ιστού και να συλλέξει πληροφορίες συστήματος. Η ανάλυση του πηγαίου κώδικα του stealer υποδεικνύει συνεχιζόμενες προσπάθειες ανάπτυξης για την επέκταση των δυνατοτήτων του. Έτσι, είναι σε θέση να καταγράφει την οθόνη του θύματος, να καταγράφει πληκτρολογήσεις, να εξάγει αρχεία, να παρακολουθεί διεργασίες, να συλλέγει πληροφορίες δικτύου, να κρυπτογραφεί αρχεία και να εξάγει ιστορικό περιήγησης.
"Η εκτεταμένη στόχευση των δεδομένων περιήγησης υπογραμμίζει την εστίαση της εκστρατείας σε επιχειρήσεις με σημαντική παρουσία στα μέσα κοινωνικής δικτύωσης, ιδιαίτερα σε πλατφόρμες όπως το Facebook," ανέφερε η Morphisec. Αυτό υποδεικνύει ότι οι δράστες αναζητούν πρόσβαση σε εταιρικούς λογαριασμούς, διαφημιστικές καμπάνιες και εσωτερικά δεδομένα που μπορούν να αξιοποιηθούν για οικονομικό όφελος ή εκβιασμούς.
Δείτε επίσης: Διαρροή Linux malware (σύνδεση με Βορειοκορεάτες χάκερ)
Noodlophile malware: Πώς μπορούν να προστατευτούν οι επιχειρήσεις
• Εκπαίδευση προσωπικού • Συχνή ενημέρωση για τεχνικές phishing.
• Προσοχή σε emails με "επείγουσα" χροιά ή links προς cloud υπηρεσίες.
• Πολυεπίπεδη άμυνα • Χρήση EDR λύσεων που εντοπίζουν in-memory activity.
• Ενεργοποίηση multi-factor authentication (MFA).
• Έλεγχος social media accounts • Συνεχής παρακολούθηση των εταιρικών προφίλ.
• Περιορισμός των admin δικαιωμάτων σε λίγα, αξιόπιστα άτομα.
• Zero Trust πολιτική • Καμία τυφλή εμπιστοσύνη σε emails ή εξωτερικά links.
• Χρήση sandboxing για ύποπτα αρχεία.
• Incident response plan • Έτοιμα πρωτόκολλα σε περίπτωση μόλυνσης.
• Ταχεία απομόνωση προσβεβλημένων συστημάτων.
Το Noodlophile αποτελεί ξεκάθαρη ένδειξη της εξέλιξης του κυβερνοεγκλήματος: από απλά phishing emails σε πολυεπίπεδες, καμουφλαρισμένες επιθέσεις που συνδυάζουν τεχνική και κοινωνική μηχανική. Οι επιχειρήσεις που επενδύουν σε cybersecurity awareness και προηγμένα εργαλεία ανίχνευσης έχουν σαφές πλεονέκτημα απέναντι σε τέτοιες απειλές.
Πηγή: thehackernews.com
© SecNews.gr - Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672