Хакеры так обиделись на разоблачение, что завалили антивирусы миллионами вьетнамских ругательств

Создатели вредоносной программы Noodlophile, похоже, болезненно отреагировали на публикации о своей деятельности. После того как исследователи подробно разобрали их инструмент, авторы решили ответить своеобразным способом и попытались одновременно отомстить и запутать системы автоматического анализа.

Впервые Noodlophile обнаружили в мае 2025 года. Тогда выяснилось, что программа скрывалась за поддельными сервисами для создания видео с помощью искусственного интеллекта, которые активно продвигали на Facebook*. Злоумышленники искусственно накручивали популярность страниц, чтобы вызвать доверие, а затем предлагали скачать архивы с якобы полезными инструментами. Внутри оказывался похититель данных, который собирал учётные записи, содержимое криптовалютных кошельков и другую информацию, а затем отправлял её через ботов в Telegram.

Позже специалисты Google Cloud сообщили, что связанные с Вьетнамом участники, которых отслеживают под именем UNC6229, сменили тактику. Вместо фальшивых сервисов они начали публиковать поддельные вакансии. Жертвами становятся соискатели, студенты и специалисты по цифровому продвижению. Под видом анкеты или тестового задания людям предлагают загрузить файл, в котором скрывается троян для удалённого управления. Анализ новой версии показал многоступенчатую схему заражения, подгрузку библиотек через подмену DLL и использование Telegram для управления, что связывает кампанию с тем же вьетнамским окружением, что и Noodlophile.

Самым любопытным оказался ответ авторов на публичность. В новых образцах они добавили миллионы повторов оскорбительной фразы на вьетнамском языке, адресованной компании Morphisec. Этот приём не только выражает раздражение из-за сорванных атак, но и раздувает размер файла. Заодно он выводит из строя инструменты анализа, которые разбирают байт-код Python с помощью стандартной библиотеки dis, поскольку из-за объёма данных такие средства просто падают.

Тем же злоумышленникам приписывают публикации в Facebook с советами по шифрованию кода на Python, чтобы усложнить его разбор автоматическими системами. Похоже, они внимательно следят за тем, как их изучают, и пытаются закрыть уязвимые места.

В свежих образцах нашли и другие изменения. Разработчики использовали классический алгоритм хеширования djb2 в загрузчике функций, что позволяет динамически определять адреса системных вызовов. Вредоносная программа сама проверяет свою цифровую подпись и прекращает работу, если замечает вмешательство средств отладки или анализа. Командный файл с говорящим названием Chingchong.cmd теперь дополнительно шифруют алгоритмом RC4. Ряд строк в коде скрыли с помощью операции исключающего ИЛИ, чтобы затруднить поиск по сигнатурам.

История показывает, что злоумышленники не только распространяют вредоносные программы, но и активно адаптируются к публикациям о себе. Тем, кто ищет работу или тестирует новые сервисы на базе искусственного интеллекта, стоит сохранять осторожность и внимательно проверять источники файлов. А специалистам по защите информации придётся учитывать новые приёмы, которыми авторы Noodlophile пытаются ломать автоматический анализ кода.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.