Нов зловреден софтуер атакува фирми чрез фалшиви имейли за „нарушение на авторски права“

Киберпрестъпници, стоящи зад зловредния софтуер Noodlophile, използват все по-усъвършенствани методи за разпространение на вируса си. Основният им инструмент са добре подготвени фишинг имейли, насочени към компании в САЩ, Европа, балтийските държави и региона Азия–Тихоокеанския регион.

Как работи атаката?

Нападателите изпращат имейли, които изглеждат като официални уведомления за нарушение на авторски права във Facebook. Съобщенията съдържат конкретни данни – като ID на страници във Facebook или информация за собствениците на фирми – което създава впечатление за достоверност. Това е типичен пример за т.нар. spear-phishing – насочени атаки, персонализирани за всяка жертва.

Имейлите често идват от Gmail акаунти, за да не предизвикват съмнение. В тях има линк към Dropbox, откъдето се сваля компресиран файл (ZIP или MSI). При стартиране този файл използва легитимна програма – Haihaisoft PDF Reader – за да „скрие“ и стартира заразения код. Преди това се изпълняват скриптове, които осигуряват постоянен достъп до системата чрез Windows Registry.

Защо е опасен Noodlophile?

Noodlophile е вид инфостийлър – зловреден софтуер, създаден да краде данни. Той може да събира:

• информация от уеб браузъри (пароли, бисквитки, история на посещенията),
• системни данни и мрежови настройки,
• файлове от устройството,
• и дори да прави скрийншоти или да записва натискания на клавиши.

Изследванията показват, че разработчиците продължават да разширяват функциите му. В бъдеще той може да получи възможности за криптиране на файлове, което ще го доближи до рансъмуер.

Какво е новото в тази кампания?

За разлика от по-стари атаки, настоящата версия на Noodlophile използва легитимни уязвимости в софтуер, сложни методи за прикриване чрез Telegram групи и динамично зареждане на кода в паметта – техники, които затрудняват антивирусните програми. Telegram се използва като своеобразен „склад“ за връзки към сървърите, от които се тегли заразата, което прави откриването и спирането ѝ по-трудно.

Тази практика напомня на друга голяма кампания от 2024 г., при която се използваха подобни фалшиви уведомления за авторски права за разпространение на друг вирус – Rhadamanthys Stealer.

Кого застрашава?

Основните мишени са фирми, които имат активно присъствие в социалните мрежи, най-вече във Facebook. Там рискът от „съобщения за нарушение на авторски права“ изглежда напълно реален, а това прави служителите по-лесни жертви на измамата.

Как да се предпазим?

• Винаги проверявайте внимателно имейлите, които твърдят, че са от Facebook или друга голяма платформа.
• Никога не отваряйте прикачени файлове или линкове от съмнителни източници.
• Използвайте антивирусен софтуер и актуализирани системи.
• Обучавайте служителите си за подобни заплахи – социалното инженерство е основното оръжие на такива атаки.