Biến thể mới của mã độc Noodlophile Stealer đã được phát hiện trong các chiến dịch spear-phishing tinh vi, nhắm mục tiêu vào các doanh nghiệp sở hữu lượng lớn người theo dõi trên Facebook. Ban đầu, phần mềm độc hại này được tìm thấy trong các chiến dịch lợi dụng nền tảng tạo video AI giả mạo. Tuy nhiên, Noodlophile Stealer đã phát triển thành một mối đe dọa dai dẳng, vũ khí hóa các thông báo vi phạm bản quyền để xâm nhập các tổ chức.

Phân Tích Tấn Công Spear-Phishing Mục Tiêu

Chiến Thuật Lừa Đảo Mới

Biến thể cập nhật của mã độc Noodlophile Stealer đã hoạt động hơn một năm, cho thấy sự thay đổi chiến thuật rõ rệt. Thay vì sử dụng mồi nhử mạng xã hội rộng rãi, các cuộc tấn công này giờ đây tập trung vào email cá nhân hóa cao. Kẻ tấn công mạo danh các tổ chức pháp lý và kết hợp các chi tiết thu thập được từ quá trình trinh sát ban đầu, bao gồm ID Trang Facebook cụ thể và dữ liệu sở hữu công ty của nạn nhân.

Các nỗ lực tấn công spear-phishing này thường được gửi đi từ các tài khoản Gmail để né tránh sự kiểm duyệt ban đầu của hệ thống email. Điều này giúp các email độc hại dễ dàng tiếp cận hộp thư đến của mục tiêu hơn.

Phạm Vi và Ngôn Ngữ Tấn Công

Chiến dịch của mã độc Noodlophile Stealer mở rộng phạm vi toàn cầu nhờ nội dung email đa ngôn ngữ. Các ngôn ngữ bao gồm tiếng Anh, tiếng Tây Ban Nha, tiếng Ba Lan và tiếng Latvia, có khả năng được tạo bằng AI để tăng tính thuyết phục. Phạm vi tấn công bao gồm các khu vực như Hoa Kỳ, Châu Âu, vùng Baltic và Châu Á-Thái Bình Dương (APAC).

Kẻ tấn công gây áp lực mạnh mẽ lên các nạn nhân bằng cách yêu cầu hành động khẩn cấp đối với các cáo buộc vi phạm bản quyền giả mạo. Mục tiêu thường là các nhân viên chủ chốt hoặc các hộp thư đến chung như info@ hoặc support@. Các email này thúc đẩy nạn nhân tải xuống payload độc hại, được ngụy trang dưới dạng tệp “bằng chứng” như “View Copyright Infringement Evidence.pdf.”

Cách tiếp cận này có những điểm tương đồng với các chiến dịch trước đây, chẳng hạn như hoạt động “CopyRh(ight)adamantys” năm 2024 của Check Point, nơi phát tán mã độc Rhadamanthys stealer thông qua các mồi nhử chủ đề pháp lý tương tự. Tuy nhiên, Noodlophile Stealer nổi bật hơn nhờ khai thác các lỗ hổng phần mềm hợp pháp, sử dụng Telegram làm kênh trung gian và thực thi payload động để tăng cường khả năng né tránh.

Kỹ Thuật Lan Truyền và Khai Thác Lỗ Hổng

DLL Side-Loading và Tải Đệ Quy

Cơ chế truyền tải của mã độc Noodlophile Stealer thể hiện sự tiến bộ đáng kể. Nó khai thác các lỗ hổng DLL side-loading trong các ứng dụng hợp pháp đã được ký số. Điều này cho phép mã độc chạy trong ngữ cảnh của một tiến trình đáng tin cậy, làm giảm khả năng bị phát hiện.

Các ứng dụng bị khai thác bao gồm Haihaisoft PDF Reader và các trình chuyển đổi Excel. Kẻ tấn công sử dụng kỹ thuật tải stub đệ quy, trong đó một DLL stub nhỏ được side-load để gọi mã độc hại một cách đệ quy thông qua các phần phụ thuộc trong Bảng địa chỉ nhập (IAT – Import Address Table). Ngoài ra, chúng cũng có thể xâu chuỗi các lỗ hổng trong các DLL hợp pháp để thực thi mã một cách bí mật bên trong các tiến trình đáng tin cậy.

Cơ Chế Phát Tán Payload

Các payload của mã độc Noodlophile Stealer được phân phối thông qua các liên kết Dropbox, thường được che giấu bằng các dịch vụ rút gọn URL như TinyURL. Các liên kết này dẫn đến các kho lưu trữ chứa các artifact đã bị làm rối.

Các artifact này có thể là các script batch đã được đổi tên với các phần mở rộng như .docx hoặc .pdf để trông giống tài liệu hợp pháp, hoặc các kho lưu trữ tự giải nén (SFX – Self-Extracting Archives) được ngụy trang dưới dạng tệp .png. Điều này giúp qua mặt các biện pháp kiểm soát bảo mật cơ bản.

Cơ Chế Thực Thi và Duy Trì Quyền Truy Cập

Giai Đoạn Staging Trung Gian

Khi được thực thi, các tệp độc hại kích hoạt một giai đoạn staging trung gian. Trong giai đoạn này, các DLL sẽ đổi tên các tệp để tiết lộ các script BAT và trình thông dịch Python di động. Đây là bước chuẩn bị để thiết lập khả năng duy trì quyền truy cập trên hệ thống bị xâm nhập.

Cơ Chế Duy Trì

Sự duy trì trên hệ thống được thiết lập thông qua việc ghi các khóa registry. Cụ thể, mã độc Noodlophile Stealer sử dụng đường dẫn sau:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Ngoài ra, các biến thể của malware có thể tải xuống các tệp ngụy trang bổ sung từ các máy chủ từ xa. Sau đó, chúng chuyển sang các lớp làm rối nâng cao hơn. Các lớp này có thể trích xuất URL từ mô tả nhóm Telegram để truy xuất payload động từ các nền tảng như paste.rs, giúp thay đổi và cập nhật payload liên tục.

Khả Năng Đánh Cắp Dữ Liệu và Thông Tin Hệ Thống

Dữ Liệu Mục Tiêu

Bản thân mã độc Noodlophile Stealer đã được cải tiến với khả năng đánh cắp dữ liệu mạnh mẽ hơn. Nó tập trung vào việc thu thập các thông tin nhạy cảm sau:

• Thông tin đăng nhập trình duyệt
• Dữ liệu tự động điền
• Cookies, đặc biệt là tệp cookies.sqlite của Facebook
• Thông tin đăng nhập Gecko
• Dữ liệu đăng nhập Chrome
• Chi tiết thẻ tín dụng, thường thông qua các truy vấn bỏ qua các cơ chế bảo vệ như RmStartSession.

Thu Thập Thông Tin Hệ Thống và Né Tránh

Để nắm bắt thông tin môi trường và né tránh, Noodlophile Stealer cũng thực hiện các truy vấn WMI trên AntiVirusProduct để liệt kê phần mềm bảo mật đang chạy. Nó cũng thu thập thông tin hệ thống chi tiết qua các truy vấn Win32_ComputerSystem và Win32_OperatingSystem. Mã độc này duy trì quyền truy cập bằng cách thiết lập persistence trong thư mục ProgramsStartup và có khả năng tự xóa tệp để che giấu dấu vết.

Hướng Phát Triển Tiềm Năng và Tính Năng Mở Rộng

Các hàm giữ chỗ trong codebase của mã độc Noodlophile Stealer cho thấy những kế hoạch mở rộng tính năng trong tương lai. Điều này bao gồm khả năng chụp ảnh màn hình, ghi lại thao tác bàn phím (keylogging), rò rỉ tệp (file exfiltration), giám sát tiến trình, trinh sát mạng nội bộ, kiểm tra tiện ích mở rộng trình duyệt, mã hóa tệp và trích xuất lịch sử trình duyệt.

Ngoài ra, có những dấu hiệu cho thấy khả năng can thiệp vào AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows) thông qua các tệp thực thi .NET. Mục tiêu là để né tránh các giải pháp phát hiện và phản ứng điểm cuối (EDR – Endpoint Detection and Response). Sự phát triển này nhấn mạnh khả năng thích ứng của Noodlophile trong việc nhắm mục tiêu vào dấu chân mạng xã hội của doanh nghiệp để thu thập thông tin đăng nhập và có khả năng chiếm đoạt tài khoản.

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro

Khuyến Nghị Bảo Mật

Theo báo cáo từ Morphisec, các nhà lãnh đạo an ninh mạng doanh nghiệp cần ưu tiên các biện pháp phòng thủ chống lại các infostealer như mã độc Noodlophile Stealer. Những mối đe dọa này khai thác các bề mặt tấn công tĩnh, đòi hỏi các giải pháp bảo vệ chủ động.

Các công nghệ như Automated Moving Target Defense (AMTD) của Morphisec cung cấp khả năng bảo vệ chủ động bằng cách định hình lại môi trường hệ thống một cách linh hoạt, vô hiệu hóa các mối đe dọa trước khi chúng thực thi mà không phụ thuộc vào chữ ký hay các heuristic hành vi.

Khi Noodlophile Stealer tiếp tục tinh chỉnh các chiến thuật của mình, các tổ chức cần tăng cường lọc email, tiến hành đào tạo nâng cao nhận thức về tấn công spear-phishing thường xuyên và giám sát các indicators of compromise (IOC) để giảm thiểu rủi ro từ các mồi nhử vi phạm bản quyền đã được vũ khí hóa này. Tìm hiểu thêm về phân tích chuyên sâu về Noodlophile Stealer.