Ha surgido una sofisticada campaña de phishing dirigida a empresas con importantes huellas de redes sociales, aprovechando los avisos de infracción de derechos de autor armado para entregar el malware evolucionado de los robadores de fideos.
Esta amenaza altamente específica representa una escalada significativa de las iteraciones anteriores, explotando la dependencia de las empresas en las plataformas de redes sociales a través de correos electrónicos de phishing de lanza meticulosamente elaborados que alegan violaciones de derechos de autor en páginas específicas de Facebook.
La campaña demuestra una precisión sin precedentes en su metodología de orientación, con actores de amenazas que realizan un amplio reconocimiento para recopilar detalles específicos, incluidas las identificaciones de la página de Facebook y la información de propiedad de la compañía.
Estos ataques personalizados se dirigen principalmente a los empleados clave y a las bandejas de entrada organizacionales genéricas, como Info@ y Support@, creando un sentido de urgencia a través de amenazas legales que presionan a los destinatarios para hacer clic en enlaces maliciosos disfrazados de evidencia.
Analistas de Morphisec identificado Que esta campaña evolucionada emplea contenido multilingüe que abarca inglés, español, polaco y letón, potencialmente aprovechando la inteligencia artificial para la localización y un alcance global más amplio.
Cadena de ataque (Fuente – Morphisec)
La sofisticación se extiende más allá de los simples señuelos por correo electrónico, incorporando vulnerabilidades de software legítimas y mecanismos de estadificación ofuscados que complican significativamente los esfuerzos de detección.
A diferencia de su predecesor, que se basaba en plataformas de generación de videos de IA falsas, las explotaciones de variadores de noodlophilo actuales legítimas, aplicaciones firmadas digitalmente vulnerables a la carga lateral de DLL, incluidos los lector de Haihaisoft PDF y los convertidores de Excel.
Los operadores de malware han desarrollado dos técnicas innovadoras de explotación: carga de tallo recursivo y vulnerabilidades de DLL encadenadas, ambas diseñadas para ejecutar código malicioso encubierta dentro de los procesos confiables.
Mecanismos avanzados de entrega y persistencia
El mecanismo de entrega del malware representa una clase magistral en las técnicas de evasión, utilizando enlaces de Dropbox enmascarados por redireccionamientos de Tinyurl para distribuir las cargas útiles.
Estos archivos contienen artefactos cuidadosamente disfrazados, incluidos los scripts por lotes renombrados como archivos .docx y archivos de autoextración que se hacen pasar por archivos .png, ejecutados a través de bibliotecas maliciosas cargadas dentro de aplicaciones legítimas.
Después de la carga lateral exitosa de DLL, la campaña presenta un proceso de puesta en escena intermedia donde las DLL maliciosas cambian de nombre de archivos adicionales para revelar scripts de murciélagos e intérpretes portátiles de Python.
El mecanismo de persistencia funciona a través de modificaciones de registro bajo HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, estableciendo la ejecución a través de comandos CMD.EXE que inician intérpretes de Python con scripts maliciosos.
La capa de ofuscación mejorada extrae URL de las descripciones del grupo Telegram, lo que permite la ejecución dinámica de la carga útil mientras se aloja en las etapas finales en plataformas como Paste.RS.
Esta infraestructura de comando y control basada en el telegrama, combinada con capacidades de ejecución en memoria, complica significativamente los métodos de detección basados en disco tradicionales y representa una evolución preocupante en las estrategias de despliegue de robador.
Las capacidades actuales del robador de noodlophile se centran ampliamente en el robo de datos basado en el navegador, dirigiendo las credenciales web, los datos de enfoque automático y las cookies de Facebook a través de consultas sofisticadas de SQL.
Su base de código revela funciones de marcadores de posición que indican expansiones planificadas en captura de pantalla de captura de pantalla, keylogging y posibles mecanismos de derivación EDR a través de la manipulación de AMSI y ETW.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
