تشهد حملة البرمجيات الخبيثة Noodlophile توسعًا ملحوظًا على مستوى العالم، حيث يستغل القائمون عليها رسائل تصيّد موجّهة وآليات توصيل محدثة لنشر برمجية سرقة المعلومات، مستهدفين مؤسسات في الولايات المتحدة وأوروبا ودول البلطيق ومنطقة آسيا والمحيط الهادئ.
أسلوب التصيّد عبر ادعاءات انتهاك حقوق النشر
أوضح الباحث شموئيل أوزان من شركة Morphisec أن الحملة، النشطة منذ أكثر من عام، باتت تعتمد على رسائل تصيّد متقدمة تنتحل صفة إشعارات بانتهاك حقوق النشر، مرفقة بتفاصيل دقيقة تم جمعها عبر أنشطة استطلاع، مثل معرفات صفحات فيسبوك وبيانات الملكية الخاصة بالشركات.
وكانت الشركة قد كشفت في مايو 2025 أن القائمين على Noodlophile استخدموا سابقًا أدوات مزيّفة يُزعم أنها مدعومة بالذكاء الاصطناعي، وروّجوا لها عبر وسائل التواصل الاجتماعي كفيسبوك، بهدف خداع الضحايا وتحميل البرمجية.
سلسلة الهجوم وآليات التمويه
تبدأ سلسلة الهجوم عادة برسائل بريد إلكتروني مصدرها حسابات “جي ميل”، تزعم وجود انتهاكات لحقوق النشر على صفحات فيسبوك مرتبطة بالمؤسسة المستهدفة. وتحتوي الرسالة على رابط “دروب بوكس” يؤدي إلى ملف مضغوط أو مثبت MSI، يقوم بتحميل مكتبة DLL خبيثة عبر الاستعانة ببرامج مشروعة مثل Haihaisoft PDF Reader، ومن ثم تشغيل برمجية Noodlophile بعد تنفيذ سكربتات خبيثة لضمان الاستمرارية عبر سجل نظام ويندوز.
وتتميّز الحملة باستخدامها أوصاف مجموعات “تليغرام” كوسيط غير مباشر للوصول إلى الخادم الذي يستضيف الحمولة الخبيثة، ما يعقد جهود الكشف والتعطيل. كما اعتمد المهاجمون على تقنيات مراوغة مثل استخدام أرشيفات مشفّرة بصيغة Base64، واستغلال أدوات النظام الشرعية (LOLBins) مثل certutil.exe، إضافة إلى تنفيذ الحمولة في الذاكرة فقط لتجنب الاكتشاف عبر الأقراص.
قدرات متطورة لبرمجية Noodlophile
تُعد Noodlophile برمجية سرقة بيانات متقدمة قادرة على استخراج معلومات من متصفحات الإنترنت، وجمع بيانات النظام، إلى جانب تطوير مستمر لزيادة قدراتها. فقد أظهرت التحليلات سعي مطوريها إلى إضافة وظائف تشمل: التقاط صور الشاشة، تسجيل ضغطات لوحة المفاتيح، سرقة الملفات، مراقبة العمليات، جمع معلومات الشبكة، تشفير الملفات، واستخراج سجل التصفح.
ووفقًا لتقرير Morphisec، فإن تركيز الحملة على استهداف بيانات المتصفحات يبرز اهتمام المهاجمين بالمؤسسات ذات الحضور القوي على وسائل التواصل الاجتماعي، خصوصًا فيسبوك، مع احتمال تطور البرمجية لتصبح تهديدًا أشد تنوعًا وخطورة في المستقبل.
