Noodlophile Stealer
Kyberzločinci těží z rostoucí poptávky po nástrojích založených na umělé inteligenci tím, že vytvářejí přesvědčivé falešné platformy, které nalákají uživatele ke stažení nebezpečného malwaru Noodlophile, jenž krade informace. Na rozdíl od tradičních phishingových podvodů nebo stránek pro distribuci cracknutého softwaru tito aktéři vytvářejí legitimně vypadající webové stránky s tématikou umělé inteligence a propagují je prostřednictvím virálních kampaní na sociálních sítích a facebookových skupin.
Obsah
Sociální inženýrství prostřednictvím sociálních médií
Tyto falešné kampaně jsou chytře šířeny na sociálních platformách, přičemž některé příspěvky přilákají přes 62 000 zhlédnutí. Stránky se vydávají za skutečné služby tvorby obsahu s umělou inteligencí a jsou zaměřeny na uživatele hledající nástroje pro úpravu videa a obrázků. Mezi pozoruhodné falešné profily patří „Luma Dreammachine Al“, „Luma Dreammachine“ a „gratistuslibros“.
Příliš dobré na to, aby to byla pravda: Past umělé inteligence
Jakmile uživatelé zareagují na příspěvky, jsou přesměrováni ke stažení toho, co považují za služby vylepšené umělou inteligencí pro vytváření videí, obrázků, log nebo webových stránek. Jeden podvodný web dokonce napodobuje CapCut AI a tvrdí, že nabízí univerzální video editor s pokročilými funkcemi umělé inteligence.
Začíná infekční řetězec
Po nahrání mediálních výzev jsou uživatelé vyzváni ke stažení výstupu vygenerovaného umělou inteligencí. Místo obsahu si však nevědomky stáhnou škodlivý ZIP archiv s názvem VideoDreamAI.zip. Uvnitř se nachází maskovaný spustitelný soubor: Video Dream MachineAI.mp4.exe. Spuštění tohoto souboru spustí řetězovou reakci, počínaje spuštěním legitimního souboru CapCut.exe od ByteDance.
Tento legitimní binární soubor slouží jako zástěrka pro načtení komponenty CapCutLoader založené na .NET, která poté načte a spustí datový soubor založený na Pythonu (srchost.exe) ze vzdáleného serveru.
Užitečné zatížení: Noodlophile a další
Posledním malwarem je Noodlophile Stealer, malware vybavený k odcizení přihlašovacích údajů prohlížeče, dat kryptoměnových peněženek a dalších citlivých informací. V některých variantách je tento malware nasazen společně s trojským koněm pro vzdálený přístup (RAT), jako je XWorm, což umožňuje trvalou kontrolu nad zařízením oběti.
Autor malwaru s veřejnou tváří
Snahy o atribuci vysledovaly vývoj Noodlophile k osobě, o které se předpokládá, že pochází z Vietnamu. Tento vývojář, který se na GitHubu identifikuje jako „vášnivý vývojář malwaru z Vietnamu“, si vytvořil profil 16. března 2025. Vietnam se stal centrem kyberzločinu, zejména pokud jde o malware zaměřený na stealer, který cílí na platformy jako Facebook.
Umělá inteligence jako nová návnada na malware
Zneužívání veřejné fascinace umělou inteligencí není nic nového. V roce 2023 společnost Meta oznámila odstranění více než 1 000 škodlivých URL adres určených k napodobení ChatGPT od OpenAI. Tyto odkazy byly od března 2023 použity k distribuci nejméně 10 různých rodin malwaru, což dokazuje, že podvody s umělou inteligencí jsou i nadále silným nástrojem v arzenálu kyberzločinců.
