Noodlophile Malware Campaign Expands Global Reach with Copyright Phishing Lures

Noodlophile : Une Campagne de Malware en Expansion Exploite le Phishing sur le Droit d’Auteur

Une campagne de malware appelée Noodlophile étend sa portée mondiale en utilisant des courriels de spear-phishing ciblés. Ces courriels se font passer pour des avis d’infraction au droit d’auteur, personnalisés avec des informations spécifiques sur les pages Facebook et la propriété des entreprises, afin d’inciter les employés à télécharger des charges utiles malveillantes.

La menace a déjà été observée précédemment en mai 2025, utilisant de faux outils d’intelligence artificielle comme leurres. Cette nouvelle itération incorpore des techniques d’évasion plus avancées, notamment l’exploitation de vulnérabilités logicielles légitimes, l’utilisation de Telegram pour masquer les étapes de déploiement, et l’exécution des charges utiles en mémoire.

Points Clés :

• Ciblage géographique élargi : Les attaques visent désormais des entreprises aux États-Unis, en Europe, dans les pays baltes et dans la région Asie-Pacifique.
• Appât de phishing sophistiqué : Utilisation d’e-mails de spear-phishing imitant des avis de violation de droit d’auteur, contenant des détails spécifiques dérivés de la reconnaissance.
• Mécanismes de livraison avancés : Les courriels proviennent de comptes Gmail pour masquer leur origine et contiennent des liens Dropbox qui déploient des installateurs ZIP ou MSI.
• Sideloading de DLL : Exploitation de binaires légitimes (comme ceux du lecteur PDF Haihaisoft) pour charger une DLL malveillante.
• Persistance : Utilisation de scripts batch pour établir la persistance via le registre Windows.
• Infrastructure C2 obscurcie : Exploitation des descriptions de groupes Telegram comme “dead drop resolver” pour récupérer l’adresse du serveur hébergeant la charge utile du stealer, rendant la détection et le démantèlement plus difficiles.
• Exécution en mémoire : L’utilisation de techniques d’exécution en mémoire vise à éviter les détections basées sur le disque.
• Capacités du malware : Noodlophile est un stealer capable de voler des informations de navigateurs web, de collecter des informations système, et est en cours de développement pour inclure la capture de captures d’écran, le keylogging, l’exfiltration de fichiers, la surveillance de processus, la collecte d’informations réseau, le chiffrement de fichiers et l’extraction de l’historique des navigateurs.
• Focus sur les entreprises avec une forte présence sur les réseaux sociaux : L’extraction des données des navigateurs web indique une cible privilégiée pour les entreprises ayant une empreinte significative sur les plateformes comme Facebook.

Vulnérabilités :

• Aucune vulnérabilité spécifique (CVE) n’est mentionnée dans l’article pour cette campagne. Cependant, il est indiqué que la campagne “exploite des vulnérabilités logicielles légitimes” et utilise des “binaires légitimes associés à Haihaisoft PDF Reader” pour le sideloading de DLL.

Recommandations :

Bien que l’article ne détaille pas explicitement de recommandations spécifiques, les pratiques suivantes peuvent être déduites de la description de la campagne :

• Sensibilisation accrue aux e-mails de phishing : Les employés doivent être formés à reconnaître les e-mails suspects, en particulier ceux qui demandent des actions urgentes liées à des violations de droit d’auteur ou à des documents inattendus.
• Vigilance sur les pièces jointes et les liens : Éviter de télécharger des fichiers ou de cliquer sur des liens provenant de sources inconnues ou suspectes, même s’ils semblent légitimes.
• Mise à jour des logiciels : Maintenir les systèmes d’exploitation et les applications, y compris les lecteurs PDF, à jour pour corriger les vulnérabilités connues.
• Sécurisation des comptes et des plateformes : Renforcer la sécurité des comptes de réseaux sociaux et des informations d’entreprise.
• Utilisation de solutions de sécurité avancées : Déployer des outils de sécurité capables de détecter et de bloquer les techniques d’évasion et les charges utiles malveillantes avancées, y compris l’exécution en mémoire.

Source