Serangan siber semakin licik. Noodlophile, malware pencuri informasi yang sudah aktif lebih dari setahun, kini hadir dengan trik baru: email spear-phishing yang menyamar sebagai notifikasi pelanggaran hak cipta. Target utamanya adalah perusahaan di AS, Eropa, Baltik, hingga Asia-Pasifik.
Menurut laporan terbaru dari Morphisec, pesan jebakan ini tidak asal dikirim. Pelaku mempersonalisasi email menggunakan detail hasil pengintaian, seperti Facebook Page ID dan informasi kepemilikan perusahaan, sehingga terlihat meyakinkan.
Sebelumnya, Noodlophile sempat menyebar lewat aplikasi palsu berbasis AI yang dipromosikan di Facebook. Namun kali ini, metode serangan berevolusi jauh lebih berbahaya.
Email berisi klaim pelanggaran hak cipta dikirim dari akun Gmail untuk menghindari kecurigaan. Di dalamnya terdapat tautan Dropbox yang menurunkan file ZIP atau MSI installer. Begitu dijalankan, file ini menyelundupkan DLL jahat melalui aplikasi sah seperti Haihaisoft PDF Reader.
Malware lalu menjalankan skrip batch untuk menanam persistensi di Registry Windows dan meluncurkan Noodlophile. Menariknya, tahap distribusi payload memanfaatkan deskripsi grup Telegram sebagai tempat menyimpan alamat server tersembunyi—membuat deteksi dan pemblokiran jauh lebih sulit.
Teknik yang dipakai semakin canggih:
- Obfuscation via Telegram untuk mengaburkan komunikasi C2.
- In-memory execution agar tak terdeteksi antivirus berbasis file.
- Penyalahgunaan LOLBin seperti certutil.exe.
Noodlophile bukan sekadar pencuri data browser. Analisis kode menunjukkan pengembangnya sedang menyiapkan fitur tambahan: keylogger, pencurian file, pengambilan screenshot, enkripsi data, hingga monitoring proses sistem.
Dengan fokus khusus pada data dari browser—terutama terkait jejak media sosial perusahaan—serangan ini jelas mengincar bisnis yang sangat bergantung pada platform seperti Facebook.
Noodlophile terus berkembang menjadi ancaman yang lebih kompleks dan berbahaya. Kombinasi phishing yang sangat meyakinkan, distribusi payload lewat Dropbox, hingga penggunaan Telegram untuk menyembunyikan server menjadikannya tantangan besar bagi tim keamanan siber perusahaan global.