Los actores de amenaza detrás del malware de Noodlophile están aprovechando correos electrónicos de phishing de lanza y mecanismos de entrega actualizados para desplegar el robador de información en ataques dirigidos a empresas ubicadas en los Estados Unidos, Europa, los países bálticos y la región de Asia-Pacífico (APAC).
«La campaña Noodlophile, activa durante más de un año, ahora aprovecha los correos electrónicos avanzados de phishing de lanza que se hacen pasar por avisos de infracción de derechos de autor, adaptados con detalles derivados de reconocimientos como ID de página de Facebook específicas e información de propiedad de la compañía», dijo el investigador de Morphisec, Shmuel Uzan, en un informe compartido con las noticias del hacker.
Noodlophile fue detallado previamente por el proveedor de ciberseguridad en mayo de 2025, descubriendo el uso de los atacantes de herramientas falsas de inteligencia artificial (IA) como señuelos para propagar el malware. Se descubrió que estos programas falsificados se anunciaron en plataformas de redes sociales como Facebook.
Dicho esto, la adopción de señuelos por infracción de derechos de autor no es un desarrollo nuevo. En noviembre de 2024, Check Point descubrió una operación de phishing a gran escala que se dirigió a individuos y organizaciones bajo la falsa premisa de violaciones de infracción de derechos de autor para dejar caer al robador de Rhadamanthys.
Pero la última iteración de los ataques de noodlophile exhibe una desviación notable, particularmente cuando se trata del uso de vulnerabilidades de software legítimas, puesta en escena ofondeada a través de Telegram y la ejecución dinámica de la carga útil.
Todo comienza con un correo electrónico de phishing que busca engañar a los empleados para que descarguen y ejecuten cargas útiles maliciosas al inducir un falso sentido de urgencia, reclamando violaciones de derechos de autor en páginas específicas de Facebook. Los mensajes se originan en cuentas de Gmail en un esfuerzo por evadir la sospecha.
Presente dentro del mensaje hay un enlace de Dropbox que deja caer un instalador ZIP o MSI, que, a su vez, resuelve una DLL maliciosa que utiliza binarios legítimos asociados con Haihaisoft PDF Reader para que finalmente lance el robador de noodlofilos ofuscados, pero no antes de ejecutar scripts de lotes para establecer la persistencia de la persistencia.
Lo notable de la cadena de ataque es que aprovecha las descripciones del grupo de telegrama como un resolución de caída muerta para obtener el servidor real («Paste (.) RS») que aloja la carga útil del robador para desafiar la detección y los esfuerzos de eliminación.
«Este enfoque se basa en las técnicas de la campaña anterior (p. Ej., Archivos codificados en Base64, abuso de Lolbin como certutil.exe), pero agrega capas de evasión a través de la ejecución de comando y control y control basada en telegramas para evitar la detección basada en disco», dijo Uzan.
Noodlophile es un robador completo que puede capturar datos de los navegadores web y recopilar información del sistema. El análisis del código fuente del robador indica esfuerzos de desarrollo continuos para ampliar sus capacidades para facilitar la captura de captura de pantalla, el keylogging, la exfiltración de archivos, el monitoreo de procesos, la recopilación de información de red, el cifrado de archivos y la extracción del historial del navegador.
«La extensa orientación de los datos del navegador subraya el enfoque de la campaña en las empresas con importantes huellas de redes sociales, particularmente en plataformas como Facebook», dijo Morphisec. «Estas funciones no implementadas indican que los desarrolladores del robador están trabajando activamente para expandir sus capacidades, lo que potencialmente lo transforma en una amenaza más versátil y peligrosa».