A campanha do malware Noodlophile vem se intensificando e agora utiliza novas técnicas de spear-phishing para atingir empresas em diferentes regiões, incluindo Estados Unidos, Europa, países bálticos e Ásia-Pacífico. O foco está em mensagens falsas de violação de direitos autorais, explorando informações específicas de páginas do Facebook e dados de propriedade de empresas para aumentar a credibilidade dos ataques.
Essa operação maliciosa está ativa há mais de um ano e já havia chamado a atenção em maio de 2025, quando criminosos passaram a usar supostas ferramentas de inteligência artificial falsas como isca, promovidas em redes sociais. Agora, a tática se sofisticou com o uso de notificações de direitos autorais como atrativo, prática que já foi vista em outras campanhas de malware. Os e-mails de phishing são enviados a partir de contas do Gmail, em um esforço para reduzir a desconfiança das vítimas. Eles contêm links para o Dropbox que levam ao download de arquivos ZIP ou instaladores MSI. Esses pacotes, por sua vez, realizam o sideload de uma DLL maliciosa, aproveitando binários legítimos do Haihaisoft PDF Reader para executar o Noodlophile de forma camuflada. Antes da execução final, scripts em lote são rodados para garantir persistência no sistema, manipulando o Registro do Windows.
Para dificultar a detecção, os criminosos ainda utilizam descrições de grupos no Telegram como um mecanismo para obter os servidores que hospedam as cargas maliciosas, complicando tentativas de bloqueio. De acordo com pesquisadores, a campanha atual mantém técnicas já usadas, como abuso de ferramentas legítimas do Windows (LOLBins), mas adiciona camadas de evasão por meio do Telegram e execução em memória, reduzindo vestígios em disco. Essa evolução mostra uma clara intenção de aumentar a furtividade do ataque. O Noodlophile é classificado como um stealer, especializado em capturar informações sensíveis de navegadores e coletar detalhes sobre o sistema infectado. Há indícios de que seus desenvolvedores continuam aprimorando o malware, com funções em desenvolvimento para registrar teclas digitadas, tirar capturas de tela, monitorar processos e até criptografar arquivos.
