Noodlophile 恶意软件活动利用版权钓鱼诱饵扩大全球影响力

Noodlophile 恶意软件背后的威胁行为者利用鱼叉式网络钓鱼电子邮件和更新的传送机制来部署信息窃取程序，针对位于美国、欧洲、波罗的海国家和亚太地区 (APAC) 的企业进行攻击。

Morphisec 研究员 Shmuel Uzan 在与 The Hacker News 分享的一份报告中表示：“Noodlophile 活动已经活跃了一年多，现在利用高级鱼叉式网络钓鱼电子邮件伪装成版权侵权通知，并根据侦察结果定制详细信息，例如特定的 Facebook 页面 ID 和公司所有权信息。”

2025年5月，网络安全供应商Noodlophile就曾被披露，攻击者利用伪造的人工智能（AI）工具作为诱饵来传播恶意软件。这些伪造程序被发现在Facebook等社交媒体平台上进行宣传。

网络安全
话虽如此，使用侵犯版权的诱饵并非新鲜事。早在 2024 年 11 月，Check Point就发现了一次大规模的网络钓鱼行动，该行动以侵犯版权的虚假理由针对个人和组织，旨在删除 Rhadamanthys Stealer。

但最新版本的 Noodlophile 攻击表现出明显的偏差，特别是在使用合法软件漏洞、通过 Telegram 进行混淆阶段以及动态有效载荷执行方面。

一切始于一封钓鱼邮件，该邮件试图通过制造虚假的紧迫感，诱骗员工下载并运行恶意负载，声称特定 Facebook 页面存在版权侵权。这些邮件源自 Gmail 账户，旨在逃避怀疑。

消息中有一个 Dropbox 链接，该链接会释放一个 ZIP 或 MSI 安装程序，然后该安装程序会使用与 Haihaisoft PDF 阅读器相关的合法二进制文件侧载恶意 DLL，最终启动混淆的 Noodlophile 窃取程序，但在此之前，它会运行批处理脚本，利用 Windows 注册表建立持久性。

该攻击链值得注意的是，它利用 Telegram 群组描述作为死信解析器来获取托管窃取程序有效负载的实际服务器（“paste[.]rs”），以挑战检测和删除工作。

Uzan 表示：“这种方法建立在之前活动的技术基础之上（例如，Base64 编码的档案、像 certutil.exe 这样的 LOLBin 滥用），但通过基于 Telegram 的命令和控制以及内存执行增加了规避层，以避免基于磁盘的检测。”

身份安全风险评估
Noodlophile 是一款功能齐全的数据窃取程序，能够从 Web 浏览器捕获数据并收集系统信息。对该窃取程序源代码的分析表明，目前正在进行开发，以扩展其功能，使其能够实现屏幕截图、键盘记录、文件泄露、进程监控、网络信息收集、文件加密和浏览器历史记录提取等功能。

Morphisec 表示：“广泛瞄准浏览器数据，凸显了该攻击活动主要针对在社交媒体上拥有大量影响力的企业，尤其是在 Facebook 等平台上。这些未实现的功能表明，窃取数据的恶意软件开发者正在积极扩展其功能，有可能将其转变为一个更加灵活、更加危险的威胁。”