Fałszywe powiadomienia o prawach autorskich porzucają nową odmianę złodzieja makaronu

Morphisec ostrzega przed nową odmianą wirusa Noodlophile Stealer, która rozprzestrzenia się za pośrednictwem fałszywych wiadomości e-mail wyłudzających informacje o prawach autorskich, wykorzystując łącza Dropbox i boczne ładowanie bibliotek DLL w celu kradzieży danych.

Nowe, wysoce zaawansowane cyberzagrożenie rośnie w siłę, wykorzystując fałszywe roszczenia dotyczące praw autorskich, aby nakłonić firmy do pobrania niebezpiecznego oprogramowania. Według nowego raportu firmy Morphisec, zajmującej się cyberbezpieczeństwem, to złośliwe oprogramowanie jest ulepszoną wersją Noodlophile Stealer, który obecnie atakuje firmy w Stanach Zjednoczonych, Europie, krajach bałtyckich i regionie Azji i Pacyfiku.

Najnowsza analiza zagrożeń firmy Morphisec, udostępniona wyłącznie serwisowi Hackread.com, opisuje ewolucję zagrożenia od wcześniejszej metody wykorzystywania fałszywych platform sztucznej inteligencji do bardziej zaawansowanego podejścia. Diagram ilustruje krok po kroku proces ataku, od początkowego wabienia do ostatecznej kradzieży danych.

Badacze odkryli, że ten nowy atak wykorzystuje wysoce spersonalizowane wiadomości e-mail phishingowe, podszywające się pod oficjalne powiadomienia o naruszeniu praw autorskich . Wiadomości, które mogą być w wielu językach, są wysyłane do kluczowych pracowników lub do skrzynek odbiorczych całej firmy i często zawierają szczegółowe informacje o stronie firmy na Facebooku, takie jak jej unikalny identyfikator.

Dzięki temu e-maile wydają się autentyczne i wzbudzają poczucie pilności. Celem jest wywarcie presji na odbiorcę, aby kliknął link „dowód” domniemanego naruszenia, który w rzeczywistości jest linkiem do pobrania złośliwego oprogramowania.

Według wpisu na blogu Morphisec udostępnionego serwisowi Hackread.com, opublikowanego przed publikacją w poniedziałek 18 2025 roku, zamiast fałszywych stron internetowych, złośliwe oprogramowanie jest dostarczane za pośrednictwem łącza Dropbox, które pobiera skompresowane archiwum, takie jak plik ZIP. Archiwum to zawiera legalną aplikację, która została zmodyfikowana w celu załadowania ukrytego, złośliwego pliku – technika ta znana jest jako boczne ładowanie bibliotek DLL .

Ta metoda pozwala zaufanemu oprogramowaniu (takiemu jak czytniki PDF ) na nieświadome uruchomienie złośliwego oprogramowania. Ostateczny złośliwy kod jest zamaskowany i wykorzystuje komunikator Telegram, aby uniknąć wykrycia przez narzędzia bezpieczeństwa.

Po uruchomieniu, złośliwe oprogramowanie koncentruje się na kradzieży szerokiego zakresu poufnych danych z przeglądarek internetowych, w tym danych logowania, numerów kart kredytowych i informacji autouzupełniania. Gromadzi również dane komputerowe, takie jak nazwy użytkowników i wersje systemu operacyjnego.

Badacze zauważyli, że kod złośliwego oprogramowania zawiera funkcje tymczasowe, co wskazuje, że jego twórcy planują w przyszłości dodać bardziej niebezpieczne możliwości, takie jak rejestrowanie naciśnięć klawiszy i robienie zrzutów ekranu.

Kluczowym elementem tego procesu jest omijanie zabezpieczeń przeglądarek takich jak Chrome , co pozwala na kradzież zapisanych danych logowania. Proces wprowadzania złośliwego oprogramowania na komputer jest również mocno zamaskowany – pliki są zmieniane w taki sposób, aby przypominały dokumenty lub obrazy.

Biorąc pod uwagę stale zmieniający się charakter tego zagrożenia, firmy muszą uważnie monitorować podejrzane wiadomości e-mail i sprawdzać nawet te, które wydają się pochodzić ze sprawdzonego źródła, aby chronić swoje cenne dane.