Noodlophileの情報盗聴マルウェアは戦術を進化させており、偽のAIビデオプラットフォームから、求人詐欺に偽装したより巧妙で効果的な方法へと移行しています。
2025年5月にNoodlophileを最初に発見したMorphisecの研究者らは、このマルウェアに関連するハッカーが求職者、学生、デジタルマーケターをターゲットにシフトしたことを最近報告しました。
これらの被害者は、実際にはリモートアクセストロイの木馬(RAT)をインストールし、ログイン認証情報や暗号資産ウォレットなどの機密情報を盗む偽の求人と技能テストで誘引されています。
当初、Noodlophileマルウェアは偽のAIビデオ生成プラットフォーム経由で宣伝されていました。これらのサイトは人気があるように見えるため詐欺的な戦術を使用し、ユーザーに悪意のあるZIPファイルをダウンロードするよう促していました。
ダウンロードされると、マルウェアはログイン認証情報や暗号資産ウォレットキーなどの貴重なデータを収集し、Telegramボットを経由して流出させていました。ただし、最新の展開はNoodlophileの背後にある脅威行為者が彼らのアプローチを進化させたことを示しています。
現在、マルウェア作成者は偽の求人情報とスキルテストにフィッシングの誘引を組み込んでいます。これらの詐欺は、求職者が興味を持つかもしれない正当な求人応募フォームのように見えることが多いです。
しかし、実際の雇用の機会につながる代わりに、被害者をマルウェアに感染させます。Google Cloud研究者はこのシフトを強調し、ベトナムにリンクされた脅威行為者グループUNC6229がこれらの取り組みの最前線にあることを指摘しました。
求人詐欺にシフトすることで、マルウェア作成者は攻撃対象を拡大し、現在、積極的に仕事を探している学生や求職者を含む、より広い視聴者をターゲットにしています。
このフレーズは「Morphisecへの不適切な言葉」に翻訳され、研究者への警告として機能するだけでなく、ファイルを膨張させ、Pythonディスアセンブリライブラリに依存するAIベースの分析ツールの機能を破壊しています。
マルウェアの開発者は、検出を回避するための追加の技術的対策も実装しており、マルウェアが分析防止ツールで改ざんされている場合にマルウェアが実行されるのを防ぐ自己チェックメカニズムが含まれています。
この自己検証ステップは、古典的なDJB2ローテーションハッシュアルゴリズムを使用しており、動的API解決のための軽量な方法です。
さらに、マルウェアのコマンドファイルは「Chingchong.cmd」という名前でユーモラスに名付けられており、RC4暗号化層によって保護されており、マルウェアの分析の試みをさらに複雑にしています。
別の防御技術には、以前に見える文字列のXOR符号化の使用が含まれており、静的分析と文字列ベースの検出ルールを通じた検出がより困難になっています。
これらの進化する戦術は、攻撃者が最新のセキュリティ対策をバイパスするためにマルウェアを継続的に改善していることを示唆しています。
Noodlophileマルウェア作成者は新しい検出技術に迅速に適応し、偽の求人詐欺などの新興の機会を悪用するために戦術をシフトしています。
悪意のあるペイロードはより洗練された回避戦術を使用するように進化していますが、目標は変わらず、疑わない被害者から機密データを盗むことです。セキュリティチームは、特に悪意のあるペイロードを隠す可能性のある求人やAIツールの周りで警戒を続けるべきです。
仕事を探しているか、AIツールを使用している個人にとって、特に実現不可能なオファーを約束するような疑わしいリンクに注意することが重要です。
一方、ディフェンダーは、フィッシング詐欺やAI駆動の分析ツールを回避するための増加傾向にある巧妙な方法の両方を含む、これらの進化する戦術を監視する必要があります。
Noodlophileマルウェアが進化し続ける中で、この成長する脅威と戦うためには、1ステップ先を進むことが鍵となります。
翻訳元: https://cyberpress.org/noodlophile-malware-uses-job-scams/