概要
Noodlophile マルウェアの作者は、偽の求人広告やフィッシングスキームを通じて攻撃手法を進化させています。このマルウェアは、ユーザー資格情報や暗号ウォレットデータなどを収集し、Telegram ボットを使用してコマンド・アンド・コントロール (C2) エンドポイントに情報を送信します。
背景
Morphisec 社の研究者によって最初に公開された Noodlophile は、偽の AI 生成ビデオプラットフォームを装ったステルス型マルウェアでした。このマルウェアは Facebook 上で積極的に広められていました。
新たな攻撃手法
2026 年初頭、Noodlophile の作者たちは新しい戦術を採用しています。Google Cloud 社の最新の脅威研究によると、ベトナムに関連するグループである UNC6229 は、求人関連のフィッシングキャンペーンに移行したとされています。
偽の求人広告
Auteqia Labs 社の独立研究者たちは、デジタルマーケティングプロフェッショナルや学生、リモートワーカーを標的とした偽の求人広告を使用した新たな Noodlophile の変種を発見しました。これらの広告は「応募フォーム」または「スキルテスト」としてダウンロードされるファイルに RAT (Remote Access Trojan) や更新された情報窃取マルウェアが含まれています。
技術的特徴
最新の Noodlophile ビルドでは、以下の新しい特性が確認されています:
- djb2 回転ハッシュアルゴリズムを使用した軽量な API 解決
- ファイルの改ざんやデバッガーの存在を検出した場合に実行を停止するカスタム整合性チェックルーチン
- RC4 暗号化されたコマンドファイルで、ユーモラスな名前の Chingchong.cmd が含まれている
- XOR 文字列の暗号化により、スキャナから読み取り可能な関数や URL リファレンスを隠す
対策と注意点
これらのアップグレードは、低〜中程度の脅威アクターによる防御技術への適応的な改良の一環として解釈できます。ソースを確認し、不要な ZIP ファイルのダウンロードを避けるとともに、Telegram ドメインに関連するコマンド・アンド・コントロールトラフィックインジケーターを監視することが重要です。
結論
サイバーセキュリティ専門家は、オンラインでの求人探しを行う際も警戒心を持ち続けることが求められます。悪意のあるアクターがキャリアプラットフォームや AI 関連の興味を活用してカスタマイズされたマルウェアを配布する傾向が高まっています。