Noodlophile Stealer
Киберпрестъпниците се възползват от нарастващото търсене на инструменти, задвижвани от изкуствен интелект, като създават убедителни, фалшиви платформи, за да примамят потребителите да изтеглят опасен зловреден софтуер за кражба на информация, наречен Noodlophile. За разлика от традиционните фишинг измами или сайтове за разпространение на кракнат софтуер, тези деятели създават легитимно изглеждащи уебсайтове с изкуствен интелект и ги популяризират чрез вирусни кампании в социалните медии и Facebook групи.
Съдържание
Социално инженерство чрез социални медии
Тези фалшиви кампании са умело разпространявани в социалните платформи, като някои публикации привличат над 62 000 гледания всяка. Страниците се представят за истински услуги за създаване на съдържание с изкуствен интелект и са насочени към потребители, търсещи инструменти за редактиране на видео и изображения. Забележителни фалшиви профили включват „Luma Dreammachine Al“, „Luma Dreammachine“ и „gratistuslibros“.
Твърде хубаво, за да е истина: Капанът на изкуствения интелект
След като потребителите взаимодействат с публикациите, те биват насочени да изтеглят това, което според тях са подобрени с изкуствен интелект услуги за създаване на видеоклипове, изображения, лога или уебсайтове. Един измамнически сайт дори имитира CapCut AI, твърдейки, че предлага видео редактор „всичко в едно“ с разширени функции на изкуствен интелект.
Започва веригата на заразяване
След като качат своите медийни подкани, потребителите биват подканени да изтеглят генерирания от изкуствен интелект изход. Вместо да получават съдържание обаче, те несъзнателно изтеглят злонамерен ZIP архив, наречен VideoDreamAI.zip. Вътре се намира прикрит изпълним файл: Video Dream MachineAI.mp4.exe. Стартирането на този файл задейства верижна реакция, започваща със стартирането на легитимния CapCut.exe на ByteDance.
Този легитимен двоичен файл служи като димна завеса за зареждане на .NET-базиран компонент, наречен CapCutLoader, който след това извлича и изпълнява Python-базиран полезен товар (srchost.exe) от отдалечен сървър.
Полезният товар: Нудлофил и отвъд
Последният полезен товар е Noodlophile Stealer, зловреден софтуер, оборудван за кражба на идентификационни данни за браузъра, данни за портфейли с криптовалута и друга чувствителна информация. В някои варианти, крадецът се използва заедно с троянски кон за отдалечен достъп (RAT), като например XWorm, което позволява постоянен контрол над устройството на жертвата.
Автор на зловреден софтуер с публично лице
Усилията за установяване на авторството са проследили разработката на Noodlophile до лице, за което се смята, че живее във Виетнам. Този разработчик, който се самоопределя в GitHub като „страстен разработчик на зловреден софтуер от Виетнам“, е създал профила си на 16 март 2025 г. Виетнам се е очертал като гореща точка за киберпрестъпна дейност, особено включваща кражба на зловреден софтуер, насочен към платформи като Facebook.
Изкуственият интелект като новата стръв за зловреден софтуер
Използването на обществения интерес към изкуствения интелект не е новост. През 2023 г. Meta съобщи за премахването на над 1000 злонамерени URL адреса, предназначени да се представят за ChatGPT на OpenAI. Тези връзки са били използвани за разпространение на поне 10 различни семейства зловреден софтуер от март 2023 г. насам, което демонстрира, че измамите, свързани с изкуствен интелект, продължават да бъдат мощен инструмент в арсенала на киберпрестъпниците.
