Noodlophile information stealer, một loại mã độc đánh cắp thông tin được phát hiện lần đầu vào tháng 5 năm 2025, đã trải qua quá trình phát triển đáng kể trong các chiến lược tấn công. Sự tiến hóa này cho phép chúng vượt qua các biện pháp bảo mật truyền thống. Ban đầu, mã độc Noodlophile ẩn mình sau các quảng cáo lừa đảo về nền tảng tạo video AI giả mạo trên mạng xã hội.

Các quảng cáo này lừa người dùng tải xuống các tệp ZIP chứa mã độc. Các chiến dịch ban đầu tập trung vào việc thu thập thông tin đăng nhập và ví tiền điện tử của nạn nhân. Dữ liệu bị đánh cắp sau đó được gửi đến kẻ tấn công thông qua các bot Telegram.

Chiến Thuật Tấn Công Của Mã Độc Noodlophile

Gần đây, các đối tượng đe dọa đã thay đổi trọng tâm tấn công, khai thác nhu cầu làm việc từ xa đang tăng cao trên toàn cầu. Các đối tượng liên kết với nhóm UNC6229 hiện đang sử dụng các thông báo tuyển dụng giả mạo để nhắm mục tiêu vào những người tìm việc, sinh viên và các chuyên gia tiếp thị kỹ thuật số. Điều này đánh dấu một sự thay đổi chiến lược đáng kể.

Từ Quảng Cáo Giả Đến Mồi Nhử Việc Làm

Trong giai đoạn đầu, các cuộc tấn công của Noodlophile information stealer thường bắt đầu bằng cách lừa người dùng thông qua các quảng cáo sai lệch. Những quảng cáo này thường hứa hẹn các tính năng hấp dẫn như tạo video bằng AI, thu hút sự chú ý của người dùng thiếu cảnh giác.

Mục tiêu chính của các chiến dịch ban đầu là thu thập thông tin đăng nhập nhạy cảm và dữ liệu ví tiền điện tử. Việc này được thực hiện một cách hiệu quả, cho phép kẻ tấn công kiểm soát tài khoản và tài sản số của nạn nhân. Dữ liệu bị đánh cắp được bí mật chuyển đến máy chủ của kẻ tấn công thông qua các kênh liên lạc được mã hóa, thường là các bot Telegram.

Chuyển Đổi Mục Tiêu Sang Nhu Cầu Việc Làm Từ Xa

Để tận dụng xu hướng làm việc từ xa, các cuộc tấn công hiện nay của mã độc Noodlophile sử dụng các mồi nhử tinh vi hơn. Chúng được ngụy trang dưới dạng đơn xin việc hoặc bài kiểm tra đánh giá kỹ năng. Đây là một dạng tấn công lừa đảo (phishing) được thiết kế để thu hút những người đang tìm kiếm cơ hội nghề nghiệp.

Các mồi nhử này không chỉ đơn thuần là tệp đính kèm mà còn triển khai các trình đánh cắp đa giai đoạn và Remote Access Trojans (RATs) thông qua kỹ thuật DLL sideloading. Kỹ thuật này lợi dụng cách một ứng dụng hợp pháp tải các thư viện DLL (Dynamic Link Library) từ một thư mục không an toàn, khiến nó tải một DLL độc hại thay vì DLL thật.

Kỹ Thuật Né Tránh Bảo Mật và Chống Phát Hiện

Sau sự thay đổi chiến lược này, các nhà phân tích của Morphisec đã phát hiện một chiến thuật trả đũa độc đáo được nhúng sâu trong mã nguồn cập nhật của mã độc Noodlophile. Chiến thuật này cho thấy sự tinh vi và ý đồ rõ ràng nhằm gây khó khăn cho các công ty bảo mật.

Phản Ứng Đối Phó Với Phân Tích Mã Độc Tự Động

Để làm gián đoạn quá trình điều tra mối đe dọa tự động, các nhà phát triển mã độc Noodlophile đã chèn hàng triệu lần lặp lại một cụm từ tiếng Việt tục tĩu vào các tệp độc hại. Việc làm phình to kích thước tệp một cách bất thường này được thiết kế để gây sập các công cụ phân tích dựa trên AI. Đặc biệt, chúng nhắm vào các thư viện tháo gỡ mã Python tiêu chuẩn như dis.dis(obj).

Kích thước tệp lớn đột ngột khiến các công cụ này quá tải, cản trở khả năng phân tích và nhận diện mã độc. Mặc dù có những bổ sung mang tính “kịch tính” này, Noodlophile information stealer vẫn tiếp tục sử dụng các bot Telegram để điều khiển và kiểm soát (C2), duy trì kênh liên lạc bí mật với kẻ tấn công.

Cải Tiến Kỹ Thuật Chống Đảo Ngược Mã

Các biến thể mới nhất của mã độc Noodlophile tích hợp nhiều cải tiến kỹ thuật nâng cao, được thiết kế để làm phức tạp các nỗ lực đảo ngược mã (reverse engineering). Điều này cho thấy sự đầu tư nghiêm túc của kẻ tấn công vào việc bảo vệ mã độc của mình khỏi sự phân tích của các chuyên gia bảo mật. Các kỹ thuật này giúp duy trì hiệu quả của mã độc đánh cắp thông tin trong thời gian dài.

Sử dụng Thuật toán Hashing djb2

Các nhà phát triển đã triển khai thuật toán hashing quay vòng djb2 cổ điển trong shellcode của bộ nạp hàm. Phương pháp nhẹ này cho phép phân giải API động một cách đáng tin cậy. Điều này khiến việc phân tích tĩnh trở nên khó khăn hơn đáng kể đối với các nhà bảo vệ đang cố gắng hiểu hành vi của mã. Thuật toán djb2 giúp che giấu các lệnh gọi API thực tế, làm chậm quá trình phân tích.

Xác thực Chữ ký Nội bộ

Ngoài ra, tệp nhị phân hiện thực hiện xác thực chữ ký được mã hóa cứng. Cơ chế tự kiểm tra nội bộ này phát hiện các nỗ lực can thiệp của các công cụ chống phân tích hoặc gỡ lỗi. Nếu phát hiện thấy bất kỳ sửa đổi nào, quá trình thực thi mã độc sẽ bị chấm dứt. Điều này ngăn chặn việc phân tích trong môi trường kiểm soát và bảo vệ tính toàn vẹn của mã độc.

Mã hóa RC4 và XOR cho File Lệnh và Chuỗi Dữ liệu

Để bảo vệ hoạt động, kẻ tấn công đã thêm một lớp mã hóa RC4 để bảo vệ tệp lệnh, đặc biệt là tệp có tên Chingchong.cmd. Lớp mã hóa này che giấu nội dung của tệp khỏi việc kiểm tra ngay lập tức. Mã hóa RC4 là một thuật toán mã hóa dòng đối xứng, thường được sử dụng để bảo vệ dữ liệu truyền tải.

Cuối cùng, kẻ tấn công đã từ bỏ việc sử dụng chuỗi văn bản thuần túy và chuyển sang mã hóa XOR để ẩn các dữ liệu trước đây có thể nhìn thấy. Kỹ thuật này hiệu quả trong việc vượt qua các quy tắc phát hiện dựa trên chuỗi đơn giản. Các đội bảo mật thường dựa vào những quy tắc này để nhanh chóng xác định mã độc Noodlophile.

Chỉ Dẫn Nhận Diện và Phòng Ngừa Mối Đe Dọa

Sự kiên trì của các cuộc tấn công từ mã độc Noodlophile nêu bật nhu cầu tăng cường nhận thức cho người dùng khi tương tác với các nền tảng tuyển dụng trực tuyến. Sự kết hợp giữa kỹ thuật né tránh bảo mật và tấn công xã hội khiến đây trở thành một mối đe dọa nghiêm trọng đối với an ninh cá nhân và doanh nghiệp. Việc cảnh giác là vô cùng quan trọng.

Các chỉ dấu nhận diện (IOCs)

• Tên mã độc: Noodlophile information stealer
• Nhóm đe dọa liên kết: UNC6229
• Tên tệp lệnh đáng ngờ:Chingchong.cmd (được bảo vệ bằng RC4)
• Kỹ thuật tấn công: DLL sideloading, phishing qua mồi nhử việc làm giả mạo
• Kênh C2: Bot Telegram
• Kỹ thuật chống phân tích: Djb2 hashing, xác thực chữ ký nội bộ, XOR encoding chuỗi

Biện pháp phòng ngừa và bảo vệ

Người dùng phải hết sức thận trọng với các lời mời làm việc không mong muốn và luôn xác minh tính hợp pháp của các nền tảng tuyển dụng. Không nên tải xuống hoặc mở các tệp đính kèm từ các nguồn không đáng tin cậy. Luôn kiểm tra kỹ địa chỉ email và URL của các trang web trước khi nhập thông tin cá nhân.

Các nhà bảo vệ cần cập nhật các quy tắc phát hiện để tính đến các mẫu hashing và mã hóa cụ thể này nhằm ngăn chặn lây nhiễm. Việc theo dõi sát sao các chiến thuật tiến hóa của mã độc đánh cắp thông tin là rất cần thiết để duy trì an ninh mạng vững chắc. Thực hiện các biện pháp bảo mật chặt chẽ và thường xuyên đào tạo người dùng về nhận diện tấn công lừa đảo là những cách hiệu quả để giảm thiểu rủi ro.