Получили письмо о нарушении авторских прав? Осторожно: внутри может скрываться вирус, который разорит ваш бизнес

Noodlophile Morphisec Facebook Telegram Dropbox Haihaisoft PDF Reader инфостилер
Получили письмо о нарушении авторских прав? Осторожно: внутри может скрываться вирус, который разорит ваш бизнес
Noodlophile Morphisec Facebook Telegram Dropbox Haihaisoft PDF Reader инфостилер

Архив из Dropbox запускает троян, а реестр Windows закрепляет его навсегда.

image

Кампания по распространению вредоносного ПО Noodlophile выходит на новый уровень и охватывает всё больше стран. Исследователь Morphisec Шмуэль Узян сообщил , что злоумышленники перешли к использованию фишинговых писем , замаскированных под уведомления о нарушении авторских прав, и добавили новые механизмы доставки вредоносного кода. Атаки направлены на компании в США, Европе, странах Прибалтики и Азиатско-Тихоокеанском регионе.

Если раньше Noodlophile продвигался через поддельные ИИ-сервисы, рекламируемые в Facebook, то теперь киберпреступники делают ставку на правдоподобные сообщения о нарушении авторских прав. Для убедительности в письмах используются реальные идентификаторы страниц в соцсетях и данные о владельцах компаний.

Сообщения отправляются с аккаунтов Gmail, чтобы не вызвать подозрений, и содержат ссылки на Dropbox, откуда скачиваются архивы ZIP или MSI-инсталляторы. Эти файлы запускают технику DLL Sideloading: через легитимные исполняемые файлы Haihaisoft PDF Reader подгружается вредоносная DLL-библиотека. Перед активацией самого стилера скрипты на batch-языке изменяют записи в реестре Windows для закрепления в системе.

Одной из главных особенностей обновлённой цепочки стало использование описаний Telegram-групп как скрытых каналов для получения адреса управляющего сервера paste[.]rs. Такая схема позволяет затруднить блокировку инфраструктуры и отслеживание кампании. Дополнительно применяются методы уклонения: архивы с кодировкой Base64, встроенные средства Windows вроде certutil.exe, загрузка и выполнение полезной нагрузки в памяти без записи на диск. Всё это заметно усложняет обнаружение угрозы.

Сам Noodlophile представляет собой полнофункциональный стилер. Он собирает информацию о системе, извлекает данные из браузеров, а также способен перехватывать историю посещений. Анализ исходного кода показал, что разработка продолжается: предусмотрены, но пока не активированы функции кейлоггинга, снятия скриншотов, мониторинга процессов, шифрования файлов, передачи документов и сетевых сведений. Это говорит о намерении авторов превратить программу в универсальный шпионский инструмент.

Акцент на краже данных из браузеров объясняется интересом злоумышленников к корпоративным аккаунтам в соцсетях, особенно на платформе Facebook. Там компании ведут страницы с большой аудиторией и часто привязывают к ним финансовые инструменты. В перспективе расширение возможностей Noodlophile может превратить его в серьёзную угрозу для бизнеса, совмещающую шпионаж, кражу паролей и элементы программ-вымогателей.