توسع حملة البرمجيات الخبيثة Noodlophile من خلال الانتشار العالمي مع سحر التصيد حقوق الطبع والنشر
تستفيد الجهات الفاعلة في التهديدات التي تقف وراء البرامج الضارة Noodlophile عن رسائل البريد الإلكتروني التي تصيب الرمح وآليات التسليم المحدثة لنشر سرقة المعلومات في الهجمات التي تهدف إلى المؤسسات الموجودة في الولايات المتحدة وأوروبا ودول البلطيق ومنطقة آسيا والمحيط الهادئ (APAC).
“إن حملة Noodlophile ، النشطة لأكثر من عام ، تعمل الآن على الاستفادة من رسائل البريد الإلكتروني المتقدمة التي تصيب الرمح التي تشكل إشعارات انتهاك حقوق الطبع والنشر ، مصممة بتفاصيل مشتقة من الاستطلاع مثل معرفات صفحة Facebook المحددة ومعلومات ملكية الشركة” قال في تقرير مشاركته مع أخبار المتسلل.
تم تفصيل Noodlophile سابقًا من قبل بائع الأمن السيبراني في مايو 2025 ، حيث كشف عن استخدام المهاجمين للأدوات الذكية المزيفة (AI) التي تعمل بزبد كإغراء لنشر البرامج الضارة. تم العثور على هذه البرامج المزيفة التي يتم الإعلان عنها على منصات التواصل الاجتماعي مثل Facebook.
ومع ذلك ، فإن اعتماد سحر انتهاك حقوق الطبع والنشر ليس تطوراً جديداً. مرة أخرى في نوفمبر 2024 ، كشفت Check Point عن عملية تصوير واسعة النطاق تستهدف الأفراد والمنظمات في ظل فرضية خاطئة لانتهاكات انتهاك حقوق الطبع والنشر لإسقاط سرقة Rhadamanthys.
لكن التكرار الأخير لهجمات Noodlophile يُظهر انحرافًا ملحوظًا ، لا سيما عندما يتعلق الأمر باستخدام نقاط الضعف الشرعية للبرامج ، والتدريج المثير عبر Telegram ، وتنفيذ الحمولة الديناميكية.
يبدأ كل شيء عبر البريد الإلكتروني للتصيد الذي يسعى إلى خداع الموظفين في تنزيل وتشغيل الحمولات الضارة من خلال إحداث شعور زائف بالإلحاح ، والمطالبة بانتهاكات حقوق الطبع والنشر على صفحات على Facebook محددة. الرسائل تنشأ من حسابات Gmail في محاولة للتهرب من الشك.
يوجد في الرسالة رابط Dropbox الذي يسقط مثبتًا مضغوطًا أو MSI ، والذي بدوره ، ينقل DLL ضار باستخدام ثنائيات شرعية مرتبطة بقارئ Haihaisoft PDF لتشغيل في نهاية المطاف لسرقة Noodlophile المملوءة ، ولكن ليس قبل تشغيل نصوص الدُفعات لتأسيس سجل النوافذ.
ما يلفت الانتباه إلى سلسلة الهجوم هو أنه يعزز أوصاف مجموعة Telegram كمحلول قطرة ميت لجلب الخادم الفعلي (“لصق[.]RS “) التي تستضيف حمولة سرقة لتحدي الجهود الكشف وإزالة الجهود.
وقال أوزان: “يعتمد هذا النهج على تقنيات الحملة السابقة (على سبيل المثال ، المحفوظات المشفرة BASE64 ، وإساءة استخدام Lolbin مثل certutil.exe) ، ولكنها تضيف طبقات من التهرب من خلال تنفيذ القيادة والسيطرة القائمة على البرقية والتنفيذ داخل الذاكرة لتجنب اكتشاف القرص”.
Noodlophile هو سرقة كاملة يمكنها التقاط البيانات من متصفحات الويب وجمع معلومات النظام. يشير تحليل رمز مصدر السارق إلى جهود التطوير المستمرة للتوسع في قدراتها لتسهيل التقاط لقطات الشاشة ، والتخلي عن المفاتيح ، وترشيح الملف ، ومراقبة العمليات ، وجمع معلومات الشبكة ، وتشفير الملفات ، واستخراج سجل المتصفح.
وقال مورفيسيك: “إن الاستهداف الواسع لبيانات المتصفح يؤكد على تركيز الحملة على المؤسسات مع أقدام وسائل التواصل الاجتماعي المهمة ، وخاصة على منصات مثل Facebook”. “تشير هذه الوظائف غير المنفذة إلى أن مطوري السارق يعملون بنشاط على توسيع قدراتها ، مما يحولها إلى تهديد أكثر تنوعًا وخطورة.”
