CyberThao
Writer
Những kẻ tấn công đứng sau phần mềm độc hại Noodlophile đang lợi dụng email lừa đảo và cơ chế phát tán mới để triển khai công cụ đánh cắp dữ liệu, nhắm đến doanh nghiệp tại Mỹ, châu Âu, các nước vùng Baltic và khu vực châu Á - Thái Bình Dương (APAC).
Theo nhà nghiên cứu Shmuel Uzan từ Morphisec, chiến dịch Noodlophile đã hoạt động hơn một năm và hiện chuyển sang sử dụng email giả mạo thông báo vi phạm bản quyền. Các email này được thiết kế tinh vi với thông tin thu thập từ hoạt động do thám, chẳng hạn ID trang Facebook cụ thể và dữ liệu sở hữu công ty.
Trước đó vào tháng 5/2025, Morphisec từng công bố chi tiết cách Noodlophile phát tán thông qua các công cụ giả mạo do AI hỗ trợ. Những công cụ này được quảng cáo trên mạng xã hội, đặc biệt là Facebook.
Mọi thứ bắt đầu từ một email giả mạo, cáo buộc doanh nghiệp vi phạm bản quyền trên Facebook, khiến nhân viên hoảng sợ và tải phần mềm độc hại. Các email này thường xuất phát từ tài khoản Gmail để tránh bị nghi ngờ.
Trong thư có liên kết Dropbox chứa file ZIP hoặc MSI. Khi mở, tệp sẽ tải một DLL độc hại bằng cách lợi dụng các tệp nhị phân hợp pháp liên quan đến Haihaisoft PDF Reader. Sau đó, phần mềm đánh cắp Noodlophile được khởi chạy, với các tập lệnh batch thiết lập khả năng tồn tại dai dẳng trong Windows Registry.
Điểm đặc biệt là kẻ tấn công lợi dụng mô tả nhóm Telegram như “hộp thư chết” để lấy địa chỉ máy chủ thực (“paste[.]rs”), nơi lưu trữ dữ liệu bị đánh cắp, nhằm tránh bị phát hiện.
Theo Uzan, phương thức này kế thừa các kỹ thuật trước như mã hóa Base64 và lạm dụng công cụ hệ thống (LOLBin) như certutil.exe, nhưng bổ sung thêm lệnh điều khiển qua Telegram và thực thi trong bộ nhớ, giúp né tránh giám sát từ đĩa cứng.
Morphisec cảnh báo: chiến dịch Noodlophile tập trung mạnh vào dữ liệu trình duyệt, đặc biệt nhắm tới doanh nghiệp có dấu ấn lớn trên mạng xã hội như Facebook. Các chức năng chưa kích hoạt hiện tại cho thấy nhóm phát triển đang tích cực mở rộng khả năng của công cụ này, biến nó thành một mối đe dọa ngày càng linh hoạt và nguy hiểm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/noodlophile-malware-campaign-expands.html
Theo nhà nghiên cứu Shmuel Uzan từ Morphisec, chiến dịch Noodlophile đã hoạt động hơn một năm và hiện chuyển sang sử dụng email giả mạo thông báo vi phạm bản quyền. Các email này được thiết kế tinh vi với thông tin thu thập từ hoạt động do thám, chẳng hạn ID trang Facebook cụ thể và dữ liệu sở hữu công ty.
Trước đó vào tháng 5/2025, Morphisec từng công bố chi tiết cách Noodlophile phát tán thông qua các công cụ giả mạo do AI hỗ trợ. Những công cụ này được quảng cáo trên mạng xã hội, đặc biệt là Facebook.
Noodlophile và chuỗi tấn công tinh vi
Hình thức lừa đảo liên quan đến bản quyền không mới. Vào tháng 11/2024, Check Point từng phát hiện một chiến dịch quy mô lớn nhằm đánh cắp Rhadamanthys với chiêu bài “vi phạm bản quyền”. Tuy nhiên, phiên bản Noodlophile mới thể hiện mức độ tinh vi hơn, khi khai thác lỗ hổng hợp pháp, sử dụng Telegram làm công cụ ẩn giấu và triển khai tải trọng động.Mọi thứ bắt đầu từ một email giả mạo, cáo buộc doanh nghiệp vi phạm bản quyền trên Facebook, khiến nhân viên hoảng sợ và tải phần mềm độc hại. Các email này thường xuất phát từ tài khoản Gmail để tránh bị nghi ngờ.
Trong thư có liên kết Dropbox chứa file ZIP hoặc MSI. Khi mở, tệp sẽ tải một DLL độc hại bằng cách lợi dụng các tệp nhị phân hợp pháp liên quan đến Haihaisoft PDF Reader. Sau đó, phần mềm đánh cắp Noodlophile được khởi chạy, với các tập lệnh batch thiết lập khả năng tồn tại dai dẳng trong Windows Registry.
Điểm đặc biệt là kẻ tấn công lợi dụng mô tả nhóm Telegram như “hộp thư chết” để lấy địa chỉ máy chủ thực (“paste[.]rs”), nơi lưu trữ dữ liệu bị đánh cắp, nhằm tránh bị phát hiện.
Theo Uzan, phương thức này kế thừa các kỹ thuật trước như mã hóa Base64 và lạm dụng công cụ hệ thống (LOLBin) như certutil.exe, nhưng bổ sung thêm lệnh điều khiển qua Telegram và thực thi trong bộ nhớ, giúp né tránh giám sát từ đĩa cứng.
Đánh giá rủi ro bảo mật
Noodlophile là một công cụ đánh cắp dữ liệu toàn diện. Nó có khả năng thu thập dữ liệu từ trình duyệt, thông tin hệ thống, đồng thời đang được phát triển để mở rộng chức năng. Những tính năng mới bao gồm chụp ảnh màn hình, ghi lại thao tác bàn phím, đánh cắp tệp, giám sát quy trình, thu thập dữ liệu mạng, mã hóa tệp và trích xuất lịch sử duyệt web.Morphisec cảnh báo: chiến dịch Noodlophile tập trung mạnh vào dữ liệu trình duyệt, đặc biệt nhắm tới doanh nghiệp có dấu ấn lớn trên mạng xã hội như Facebook. Các chức năng chưa kích hoạt hiện tại cho thấy nhóm phát triển đang tích cực mở rộng khả năng của công cụ này, biến nó thành một mối đe dọa ngày càng linh hoạt và nguy hiểm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/noodlophile-malware-campaign-expands.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview