Aug 18 de 2025Ravie Lakshmananmalware / Enterprise Seguridad Los actores de amenaza detrás del malware Noodlophile están aprovechando los correos electrónicos de phishing de lanza y los mecanismos de entrega actualizados para desplegar el robador de información en los ataques dirigidos a las empresas ubicadas en los Estados Unidos, Europa, los países bálticos y la región ASIA-Pacific (APAC). «La campaña Noodlophile, activa durante más de un año, ahora aprovecha los correos electrónicos avanzados de phishing de lanza que se hacen pasar por avisos de infracción de derechos de autor, adaptados con detalles derivados de reconocimientos como ID de página de Facebook específicas e información de propiedad de la compañía», dijo el investigador de Morphisec, Shmuel Uzan, en un informe compartido con las noticias del hacker. Noodlophile fue detallado previamente por el proveedor de ciberseguridad en mayo de 2025, descubriendo el uso de los atacantes de herramientas falsas de inteligencia artificial (IA) como señuelos para propagar el malware. Se descubrió que estos programas falsificados se anunciaron en plataformas de redes sociales como Facebook. Dicho esto, la adopción de señuelos por infracción de derechos de autor no es un desarrollo nuevo. En noviembre de 2024, Check Point descubrió una operación de phishing a gran escala que se dirigió a individuos y organizaciones bajo la falsa premisa de violaciones de infracción de derechos de autor para dejar caer al robador de Rhadamanthys. Pero la última iteración de los ataques de noodlophile exhibe una desviación notable, particularmente cuando se trata del uso de vulnerabilidades de software legítimas, puesta en escena ofondeada a través de Telegram y la ejecución dinámica de la carga útil. Todo comienza con un correo electrónico de phishing que busca engañar a los empleados para que descarguen y ejecuten cargas útiles maliciosas al inducir un falso sentido de urgencia, reclamando violaciones de derechos de autor en páginas específicas de Facebook. Los mensajes se originan en cuentas de Gmail en un esfuerzo por evadir la sospecha. Presente dentro del mensaje hay un enlace de Dropbox que deja caer un instalador ZIP o MSI, que, a su vez, resuelve una DLL maliciosa que utiliza binarios legítimos asociados con Haihaisoft PDF Reader para que finalmente lance el robador de noodlofilos ofuscados, pero no antes de ejecutar scripts de lotes para establecer la persistencia de la persistencia. Lo notable de la cadena de ataque es que aprovecha las descripciones del grupo de telegrama como un resolución de caída muerta para obtener el servidor real («Paste[.]RS «) que alberga la carga útil del robador para desafiar los esfuerzos de detección y eliminación de eliminación». Este enfoque se basa en las técnicas de la campaña anterior (por ejemplo, archivos codificados por Base64, lolbin abuse como certutil.exe), pero agrega capas de evasión a través de la evasión basada en telegram y la ejecución de la memoria y la ejecución de la memoria para evitar la detección basada en disco «, dice Uzan. Eso puede capturar datos de los navegadores web y recopilar información del sistema. Facebook, «Morphisec dijo.» Estas funciones no implementadas indican que los desarrolladores del robador están trabajando activamente para expandir sus capacidades, lo que potencialmente lo transforma en una amenaza más versátil y peligrosa «.