Noodlophile Stealer
Els ciberdelinqüents estan aprofitant la creixent demanda d'eines basades en IA creant plataformes falses i convincents per atraure els usuaris perquè descarreguin un programari maliciós perillós que roba informació anomenat Noodlophile. A diferència de les estafes tradicionals de phishing o els llocs de distribució de programari piratejat, aquests actors creen llocs web amb temàtica d'IA d'aspecte legítim i els promocionen a través de campanyes virals a les xarxes socials i grups de Facebook.
Taula de continguts
Enginyeria social a través de les xarxes socials
Aquestes campanyes falses es distribueixen hàbilment a les plataformes socials, i algunes publicacions atrauen més de 62.000 visualitzacions cadascuna. Les pàgines imiten serveis reals de creació de contingut d'IA i estan dirigides a usuaris que busquen eines per a l'edició de vídeo i imatges. Entre els perfils falsos més destacats hi ha "Luma Dreammachine Al", "Luma Dreammachine" i "gratistuslibros".
Massa bo per ser veritat: la trampa de la IA
Un cop els usuaris interactuen amb les publicacions, se'ls dirigeix a descarregar el que creuen que són serveis millorats per IA per crear vídeos, imatges, logotips o llocs web. Un lloc web fraudulent fins i tot imita CapCut AI, afirmant oferir un editor de vídeo tot en un amb funcions avançades d'IA.
Comença la cadena d’infecció
Després de penjar els seus missatges multimèdia, es demana als usuaris que descarreguin la sortida generada per la IA. Tanmateix, en comptes de rebre contingut, sense saber-ho, descarreguen un arxiu ZIP maliciós anomenat VideoDreamAI.zip. A dins hi ha un executable disfressat: Video Dream MachineAI.mp4.exe. L'execució d'aquest fitxer desencadena una reacció en cadena, que comença amb l'inici del CapCut.exe legítim de ByteDance.
Aquest binari legítim serveix com a cortina de fum per carregar un component basat en .NET anomenat CapCutLoader, que després obté i executa una càrrega útil basada en Python (srchost.exe) des d'un servidor remot.
La càrrega útil: Noodlòfil i més enllà
La càrrega útil final és Noodlophile Stealer, un programari maliciós equipat per exfiltrar credencials de navegador, dades de moneders de criptomonedes i altra informació sensible. En algunes variants, el lladre es desplega juntament amb un troià d'accés remot (RAT) com ara XWorm, permetent un control persistent sobre el dispositiu de la víctima.
Autor de programari maliciós amb cara pública
Els esforços d'atribució han rastrejat el desenvolupament de Noodlophile fins a un individu que es creu que resideix al Vietnam. Aquest desenvolupador, que s'identifica a si mateix a GitHub com un "desenvolupador de programari maliciós apassionat del Vietnam", va crear el seu perfil el 16 de març de 2025. El Vietnam s'ha convertit en un punt crític d'activitat ciberdelinqüent, en particular relacionada amb programari maliciós robatori que té com a objectiu plataformes com Facebook.
La IA com a nou esquer de programari maliciós
Explotar la fascinació pública per la intel·ligència artificial no és nou. El 2023, Meta va informar que havia eliminat més de 1.000 URL malicioses dissenyades per suplantar el ChatGPT d'OpenAI. Aquests enllaços s'han utilitzat per distribuir almenys 10 famílies diferents de programari maliciós des del març del 2023, cosa que demostra que les estafes amb temàtica d'IA continuen sent una eina poderosa en l'arsenal ciberdelinqüent.
