Noodlophile setzt auf Copyright-Schreckensszenario und attackiert weltweit
Die Noodlophile-Hacker täuschen Urheberrechtsbeschwerden vor, um Mitarbeiter zum Herunterladen von Schadsoftware zu bewegen. Die Angriffe richten sich jetzt auf Unternehmen weltweit. Mit Dropbox-Links, Telegram-Steuerung und verschleierten DLL-Loads entwickelt sich der Stealer zu einer hochgefährlichen Bedrohung.
Phishing gehört zu den ältesten und zugleich wirksamsten Angriffsmethoden im Cybercrime. Dabei versuchen Kriminelle, über täuschend echte E-Mails, Webseiten oder Nachrichten Vertrauen zu erschleichen, um Nutzer zum Klicken auf Links, Herunterladen von Dateien oder zur Preisgabe sensibler Daten zu bewegen. Die Noodlophile-Gruppe bereitet dabei Unternehmen weltweit mit wachsender Professionalität und erweiterten Angriffstechniken Sorge.
Von KI-Ködern zu Urheberrechts-Betrug
Die Noodlophile-Kampagne ist seit über einem Jahr aktiv. Anfangs nutzten die Angreifer gefälschte KI-Tools, die über soziale Netzwerke wie Facebook beworben wurden. Nun setzen sie auf gezielte Spear-Phishing-Mails, die als schockierende Nachricht zu angeblichen Copyright-Verletzungen getarnt sind. Diese Schreiben sind oft mit detaillierten Informationen angereichert – etwa Facebook-Seiten-IDs oder Daten zu Unternehmensinhabern – um Authentizität vorzutäuschen.
Die Masche erinnert an eine Kampagne vom November 2024, als Check Point eine großangelegte Phishing-Welle aufdeckte, die mit angeblichen Urheberrechtsverletzungen den Rhadamanthys Stealer verteilte. Noodlophile geht jedoch technisch deutlich raffinierter vor.
Mehrstufige Angriffskette
Der Angriff startet mit einer Phishing-Mail, die von einem Gmail-Konto verschickt wird, um seriös zu wirken. Darin steckt ein Dropbox-Link, über den die Opfer ein ZIP- oder MSI-Archiv herunterladen. Dieses nutzt legitime Dateien des Haihaisoft PDF Readers, um eine schädliche DLL einzuschleusen – ein typisches Beispiel für DLL-Side-Loading.
Bevor der eigentliche Stealer aktiv wird, sorgen Batch-Skripte für Einträge in der Windows-Registry. Dadurch startet die Malware automatisch bei jedem Hochfahren des Systems.
Bemerkenswert an dieser Angriffskette ist, dass die Angreifer Telegram-Gruppenbeschreibungen als eine Art „Dead-Drop-Resolver“ nutzen. Darüber erhalten sie die eigentliche Serveradresse (paste[.]rs), auf der die Stealer-Nutzlast liegt.
Ein Dead-Drop-Resolver ist eine Art versteckter Hinweiszettel im Internet: Angreifer hinterlegen dort unauffällig die Adresse ihres eigentlichen Steuerungsservers. So müssen sie die Serveradresse nicht direkt in der Malware speichern – was Entdeckung und Abschaltung massiv erschwert.
Evasion-Techniken und Weiterentwicklung
Laut Morphisec baut diese Kampagne auf bekannten Techniken wie Base64-kodierten Archiven und dem Missbrauch von Living-off-the-Land-Binaries (etwa certutil.exe) auf. Neu hinzugekommen sind jedoch Telegram-basierte Kommunikation, In-Memory-Ausführung und ausgefeilte Verschleierungsmethoden, die dateibasierte Erkennung umgehen sollen.
Funktionsumfang der Malware
Noodlophile ist ein vollwertiger Informationsstealer, der:
- Browserdaten abgreifen
- Systeminformationen sammeln
- Browser-Verläufe extrahieren
kann.
Die Analyse des Quellcodes zeigt zudem, dass die Entwickler an weiteren Modulen arbeiten, darunter:
- Screenshot-Erfassung
- Keylogging
- Datei-Exfiltration
- Prozess- und Netzwerküberwachung
- Dateiverschlüsselung
Damit könnte sich Noodlophile zu einem deutlich vielseitigeren und noch gefährlicheren Schadprogramm entwickeln.
Ziel: Unternehmen mit Social-Media-Präsenz
Die starke Fokussierung auf Browserdaten legt nahe, dass die Angreifer vor allem Unternehmen mit großer Social-Media-Reichweite – insbesondere auf Facebook – im Visier haben. Die Kombination aus gezieltem Spear-Phishing, legitimen Software-Komponenten und innovativen Evasion-Techniken macht die aktuelle Welle zu einer Bedrohung mit hohem Wirkpotenzial.