Campagne de malware Noodlophile
Les cybercriminels à l'origine du malware Noodlophile mènent une campagne continue ciblant des organisations aux États-Unis, en Europe, dans les pays baltes et en Asie-Pacifique. En combinant des tactiques de spear phishing à des mécanismes de diffusion évolutifs, ils cherchent à déployer un puissant outil de vol d'informations toujours plus sophistiqué.
Table des matières
Spear-phishing avec une touche d’originalité
La campagne, active depuis plus d'un an, s'est transformée en e-mails de spear-phishing déguisés en avis de violation de droits d'auteur. Ces e-mails ne sont pas génériques ; les attaquants les personnalisent en utilisant des données de reconnaissance telles que les identifiants de page Facebook et les informations sur la propriété de l'entreprise pour accroître leur crédibilité.
Les premières vagues de la campagne Noodlophile , découvertes en mai 2025, s'appuyaient sur de faux outils d'IA promus sur les réseaux sociaux comme Facebook. Aujourd'hui, le recours aux leurres liés au droit d'auteur marque un nouveau chapitre de son évolution. Des stratégies similaires ont déjà été observées : en novembre 2024, une campagne d'hameçonnage à grande échelle a utilisé de fausses allégations de violation du droit d'auteur pour diffuser le Rhadamanthys Stealer.
Anatomie de la chaîne d’attaque
L'opération actuelle commence par des e-mails de phishing provenant de Gmail, conçus pour contourner les soupçons tout en insufflant un sentiment d'urgence face à des violations présumées de droits d'auteur. Dans l'e-mail, un lien Dropbox fournit un fichier ZIP ou MSI. Une fois exécuté, ce programme d'installation installe une DLL malveillante via des binaires légitimes de Haihaisoft PDF Reader. Avant l'exécution du voleur Noodlophile, des scripts batch sont utilisés pour créer une persistance en modifiant les entrées du Registre Windows.
Une technique particulièrement évasive consiste à utiliser les descriptions de groupe Telegram, qui agissent comme un « résoudre les erreurs indésirables » pour orienter les victimes vers le serveur de charge utile hébergé sur paste.rs. Cette méthode complique les efforts de détection et de suppression tout en permettant une distribution dynamique de la charge utile.
Les tactiques d’évasion évoluent
S'appuyant sur des campagnes antérieures qui exploitaient des archives codées en Base64 et des LOLBins comme certutil.exe, l'itération actuelle ajoute :
- Canaux de commande et de contrôle basés sur Telegram
- Techniques d'exécution en mémoire pour échapper à la détection basée sur le disque
Ces innovations témoignent d’une tendance constante vers des mécanismes d’évasion plus sophistiqués, rendant les défenses traditionnelles moins efficaces.
Capacités de Noodlophile
Noodlophile n'est pas un simple voleur : c'est un outil en constante évolution conçu pour exfiltrer un large éventail de données sensibles. Une analyse récente montre qu'il peut :
- Extraire les données du navigateur et les informations système.
- Récoltez des informations sur les réseaux sociaux liés à l'entreprise, notamment sur Facebook.
L'analyse du code en cours révèle que les développeurs travaillent à l'extension de ses fonctionnalités. Parmi les fonctionnalités prévues figurent la capture d'écran, l'enregistrement des frappes, l'exfiltration de fichiers, la surveillance des processus, la reconnaissance réseau, le chiffrement des fichiers et l'extraction détaillée de l'historique du navigateur.
Un risque d’entreprise croissant
L'accent mis par la campagne sur les données des navigateurs et des réseaux sociaux met en évidence une stratégie délibérée : compromettre les entreprises fortement présentes en ligne. Grâce à de nouvelles fonctionnalités en cours de développement, Noodlophile pourrait devenir une menace plus polyvalente et plus dangereuse, combinant espionnage, vol d'identifiants et potentiellement même des capacités de type rançongiciel à l'avenir.
