Noodlephile-Malware-Kampagne
Die Cyberkriminellen hinter der Noodlophile-Malware führen eine anhaltende Kampagne gegen Organisationen in den USA, Europa, dem Baltikum und dem asiatisch-pazifischen Raum. Durch die Kombination von Spear-Phishing-Taktiken mit sich ständig weiterentwickelnden Verbreitungsmechanismen wollen sie ein mächtiges Tool zum Informationsdiebstahl einsetzen, das immer raffinierter wird.
Inhaltsverzeichnis
Spear-Phishing mit einem Twist
Die seit über einem Jahr laufende Kampagne konzentriert sich mittlerweile auf Spear-Phishing-E-Mails, die als Hinweise auf Urheberrechtsverletzungen getarnt sind. Diese E-Mails sind nicht generisch; die Angreifer passen sie mithilfe von Aufklärungsdaten wie Facebook-Seiten-IDs und Firmeninhaberdaten an, um ihre Glaubwürdigkeit zu erhöhen.
Frühere Wellen der Noodlophile-Kampagne , die im Mai 2025 aufgedeckt wurden, nutzten gefälschte KI-gestützte Tools, die über Social-Media-Kanäle wie Facebook beworben wurden. Die Umstellung auf urheberrechtlich geschützte Köder markiert nun ein neues Kapitel in ihrer Entwicklung. Ähnliche Strategien wurden bereits zuvor beobachtet: Im November 2024 nutzte eine groß angelegte Phishing-Kampagne falsche Behauptungen von Urheberrechtsverletzungen, um den Rhadamanthys Stealer zu verbreiten.
Anatomie der Angriffskette
Die aktuelle Operation beginnt mit Phishing-E-Mails aus Gmail, die Misstrauen erregen und gleichzeitig Dringlichkeit bei angeblichen Urheberrechtsverletzungen erzeugen sollen. Ein Dropbox-Link in der E-Mail liefert entweder eine ZIP- oder eine MSI-Datei. Nach der Ausführung lädt dieses Installationsprogramm eine schädliche DLL über legitime Binärdateien des Haihaisoft PDF Readers nach. Bevor der Noodlophile-Stealer ausgeführt wird, werden Batch-Skripte verwendet, um durch die Änderung von Windows-Registrierungseinträgen Persistenz zu schaffen.
Eine besonders ausweichende Technik sind Telegram-Gruppenbeschreibungen, die als „Dead-Drop-Resolver“ fungieren und Opfer auf den tatsächlichen Payload-Server verweisen, der auf paste.rs gehostet wird. Diese Methode erschwert die Erkennung und Deaktivierung und ermöglicht gleichzeitig die dynamische Bereitstellung von Payloads.
Ausweichtaktiken entwickeln sich weiter
Aufbauend auf früheren Kampagnen, die Base64-kodierte Archive und LOLBins wie certutil.exe nutzten, fügt die aktuelle Iteration Folgendes hinzu:
- Telegrammbasierte Befehls- und Kontrollkanäle
- In-Memory-Ausführungstechniken zur Vermeidung der plattenbasierten Erkennung
Diese Innovationen zeigen einen stetigen Trend zu immer ausgefeilteren Umgehungsmechanismen, wodurch herkömmliche Abwehrmaßnahmen weniger wirksam werden.
Fähigkeiten von Noodlephile
Noodlophile ist kein einfacher Dieb, sondern ein sich ständig weiterentwickelndes Toolkit, das darauf ausgelegt ist, eine Vielzahl sensibler Daten zu exfiltrieren. Aktuelle Analysen zeigen, dass es folgende Fähigkeiten besitzt:
- Extrahieren Sie Browserdaten und Systeminformationen.
- Sammeln Sie unternehmensbezogene Social-Media-Informationen, insbesondere von Facebook.
Laufende Codeanalysen zeigen, dass die Entwickler an der Erweiterung der Funktionalität arbeiten. Zu den geplanten Funktionen gehören Screenshot-Erfassung, Keylogging, Dateiexfiltration, Prozessüberwachung, Netzwerkaufklärung, Dateiverschlüsselung und die detaillierte Extraktion des Browserverlaufs.
Ein wachsendes Unternehmensrisiko
Der Fokus der Kampagne auf Browser- und Social-Media-Daten verdeutlicht eine gezielte Strategie: Unternehmen mit starker Online-Präsenz zu kompromittieren. Mit neuen Funktionen in der Entwicklung könnte sich Noodlophile zu einer vielseitigeren und gefährlicheren Bedrohung entwickeln, die Spionage, Diebstahl von Anmeldeinformationen und möglicherweise sogar Ransomware-ähnliche Fähigkeiten kombiniert.
