Noodlophile Stealer

يستغل مجرمو الإنترنت الطلب المتزايد على الأدوات المدعومة بالذكاء الاصطناعي بإنشاء منصات وهمية ومقنعة لإغراء المستخدمين بتنزيل برنامج خبيث خطير لسرقة المعلومات يُدعى Noodlophile. وخلافًا لعمليات التصيد الاحتيالي التقليدية أو مواقع توزيع البرامج المقرصنة، يُنشئ هؤلاء الفاعلون مواقع ويب تبدو شرعية ذات طابع الذكاء الاصطناعي، ويروجون لها عبر حملات واسعة الانتشار على مواقع التواصل الاجتماعي ومجموعات فيسبوك.

الهندسة الاجتماعية عبر وسائل التواصل الاجتماعي

تُوزّع هذه الحملات الوهمية بذكاء على منصات التواصل الاجتماعي، حيث تجذب بعض المنشورات أكثر من 62,000 مشاهدة لكل منها. تنتحل هذه الصفحات هوية خدمات إنشاء محتوى حقيقية تعتمد على الذكاء الاصطناعي، وتستهدف المستخدمين الباحثين عن أدوات لتحرير الفيديو والصور. من أبرز هذه الحسابات الوهمية "Luma Dreammachine Al" و"Luma Dreammachine" و"gratistuslibros".

جيد جدًا لدرجة يصعب تصديقها: فخ الذكاء الاصطناعي

بمجرد تفاعل المستخدمين مع المنشورات، يُوجَّهون إلى تنزيل ما يعتقدون أنها خدمات مُحسَّنة بالذكاء الاصطناعي لإنشاء مقاطع فيديو وصور وشعارات ومواقع ويب. حتى أن أحد المواقع الاحتيالية يُقلِّد CapCut AI، مُدَّعيًا أنه يُقدِّم مُحرِّر فيديو شاملًا بميزات ذكاء اصطناعي مُتقدِّمة.

بدأت سلسلة العدوى

بعد تحميل مطالبات الوسائط، يُطلب من المستخدمين تنزيل مُخرجاتهم المُولّدة بالذكاء الاصطناعي. ولكن، بدلًا من استلام المحتوى، يقومون دون علمهم بتنزيل ملف ZIP ضار بعنوان VideoDreamAI.zip. يحتوي الملف على ملف تنفيذي مُموّه: Video Dream MachineAI.mp4.exe. يُؤدي تشغيل هذا الملف إلى سلسلة من التفاعلات، بدءًا من تشغيل ملف CapCut.exe الرسمي من ByteDance.

يعمل هذا الثنائي الشرعي كستار دخاني لتحميل مكون قائم على .NET يسمى CapCutLoader، والذي يقوم بعد ذلك بجلب وتنفيذ حمولة قائمة على Python (srchost.exe) من خادم بعيد.

الحمولة: نودلوفيلي وما بعده

الحمولة النهائية هي Noodlophile Stealer، وهي برمجية خبيثة مُجهزة لسرقة بيانات اعتماد المتصفح، وبيانات محفظة العملات المشفرة، وغيرها من المعلومات الحساسة. في بعض إصداراتها، يُنشر برنامج السرقة إلى جانب حصان طروادة للوصول عن بُعد (RAT) مثل XWorm، مما يُتيح التحكم الدائم في جهاز الضحية.

مؤلف البرامج الضارة ذو الوجه العام

أشارت جهود الإسناد إلى أن أصل تطوير Noodlophile يعود إلى شخص يُعتقد أنه مقيم في فيتنام. هذا المطور، الذي يُعرّف نفسه على GitHub بأنه "مطور برمجيات خبيثة شغوف من فيتنام"، أنشأ ملفه الشخصي في 16 مارس 2025. وقد برزت فيتنام كمركز لنشاط الجرائم الإلكترونية، لا سيما تلك المتعلقة ببرمجيات السرقة الخبيثة التي تستهدف منصات مثل فيسبوك.

الذكاء الاصطناعي كطعم جديد للبرامج الضارة

استغلال الاهتمام العام بالذكاء الاصطناعي ليس بالأمر الجديد. ففي عام ٢٠٢٣، أفادت شركة ميتا بإزالة أكثر من ١٠٠٠ رابط URL خبيث مُصمم لانتحال شخصية ChatGPT من OpenAI. وقد استُخدمت هذه الروابط لتوزيع ما لا يقل عن ١٠ عائلات مختلفة من البرامج الضارة منذ مارس ٢٠٢٣، مما يُثبت أن عمليات الاحتيال القائمة على الذكاء الاصطناعي لا تزال أداةً فعّالة في ترسانة مجرمي الإنترنت.