精准定位的钓鱼攻击
网络安全研究人员发现一起针对大型企业的复杂钓鱼攻击活动,攻击者利用武器化的版权侵权通知传播升级版 Noodlophile 窃密木马。该攻击专门针对社交媒体影响力较大的企业,相比此前版本展现出显著的技术升级。
攻击者通过精心设计的鱼叉式钓鱼邮件,谎称企业在特定 Facebook 页面存在版权侵权行为,利用企业对社交媒体平台的依赖性实施攻击。其定位方法展现出前所未有的精确性,攻击者会预先收集包括 Facebook 页面 ID 和公司所有权信息在内的详细情报。
多语言攻击与伪装技术
这些个性化攻击主要针对关键员工及通用企业邮箱(如 info@和 support@),通过法律威胁制造紧迫感,诱使收件人点击伪装成证据文件的恶意链接。Morphisec 分析团队发现,此次攻击活动采用英语、西班牙语、波兰语和拉脱维亚语等多语言内容,可能利用人工智能技术进行本地化处理以扩大全球影响范围。
高级利用技术
该攻击活动不仅采用简单的邮件诱饵,还结合合法软件漏洞和混淆的分阶段机制,大幅增加检测难度。与早期依赖虚假 AI 视频生成平台的版本不同,当前 Noodlophile 变种利用存在 DLL 侧加载漏洞的正版数字签名应用,包括海海软件 PDF 阅读器和 Excel 转换器。
恶意软件运营者开发出两种创新利用技术:递归存根加载和链式 DLL 漏洞,均设计用于在受信任进程中隐蔽执行恶意代码。
高级投递与持久化机制
该恶意软件的投递机制堪称规避技术的典范,使用 TinyURL 重定向伪装的 Dropbox 链接分发载荷。这些压缩包包含精心伪装的组件,包括重命名为 .docx 文件的批处理脚本和伪装成 .png 文件的自解压压缩包,通过合法应用程序加载的恶意库执行。
成功实现 DLL 侧加载后,攻击活动会引入中间分阶段过程,恶意 DLL 通过重命名附加文件来释放 BAT 脚本和便携式 Python 解释器。持久化机制通过修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run注册表项实现,使用 cmd.exe 命令启动带有恶意脚本的 Python 解释器。
增强的混淆层会从 Telegram 群组描述中提取 URL,实现在 paste.rs 等平台托管最终阶段载荷的动态执行。这种基于 Telegram 的命令控制基础设施,结合内存执行能力,使传统基于磁盘的检测方法难以奏效,标志着窃密木马部署策略的显著进化。
数据窃取与未来功能
当前 Noodlophile 窃密木马主要专注于浏览器数据窃取,通过复杂 SQL 查询获取网页凭证、自动填充数据和 Facebook cookies。其代码库包含占位功能,显示计划扩展屏幕截图捕获、键盘记录功能,以及可能通过 AMSI 和 ETW 篡改实现的 EDR 绕过机制。
参考来源:
