Noodlophile Stealer
Cyberkriminelle udnytter den stigende efterspørgsel efter AI-drevne værktøjer ved at skabe overbevisende, falske platforme for at lokke brugere til at downloade en farlig informationsstjælende malware ved navn Noodlophile. I modsætning til traditionelle phishing-svindelnumre eller distributionssider for cracket software, skaber disse aktører legitime AI-inspirerede hjemmesider og promoverer dem gennem virale sociale mediekampagner og Facebook-grupper.
Indholdsfortegnelse
Social manipulation via sociale medier
Disse falske kampagner er smart distribueret på sociale platforme, hvor nogle opslag tiltrækker over 62.000 visninger hver. Siderne efterligner ægte AI-indholdsskabelsestjenester og er rettet mod brugere, der søger værktøjer til video- og billedredigering. Bemærkelsesværdige falske profiler inkluderer 'Luma Dreammachine Al', 'Luma Dreammachine' og 'gratistuslibros'.
For godt til at være sandt: AI-fælden
Når brugerne interagerer med opslagene, bliver de henvist til at downloade, hvad de mener er AI-forbedrede tjenester til at oprette videoer, billeder, logoer eller websteder. Et svindelwebsted efterligner endda CapCut AI og hævder at tilbyde en alt-i-en videoredigerer med avancerede AI-funktioner.
Infektionskæden begynder
Efter at have uploadet deres medieprompter, bliver brugerne bedt om at downloade deres AI-genererede output. I stedet for at modtage indhold downloader de dog ubevidst et ondsindet ZIP-arkiv med titlen VideoDreamAI.zip. Indeni er en forklædt eksekverbar fil: Video Dream MachineAI.mp4.exe. Kørsel af denne fil udløser en kædereaktion, der starter med lanceringen af ByteDances legitime CapCut.exe.
Denne legitime binære fil fungerer som et røgslør til at indlæse en .NET-baseret komponent ved navn CapCutLoader, som derefter henter og udfører en Python-baseret nyttelast (srchost.exe) fra en fjernserver.
Nyttelasten: Nudelfil og videre
Den endelige nyttelast er Noodlophile Stealer, malware udstyret til at stjæle browseroplysninger, kryptovaluta-tegnebogsdata og andre følsomme oplysninger. I nogle varianter anvendes stealeren sammen med en fjernadgangstrojan (RAT) som f.eks. XWorm, hvilket muliggør vedvarende kontrol over offerets enhed.
Malware-forfatter med et offentligt ansigt
Attributionsforsøg har sporet Noodlophiles udvikling til en person, der menes at være baseret i Vietnam. Denne udvikler, der identificerer sig selv på GitHub som en 'passioneret malware-udvikler fra Vietnam', oprettede sin profil den 16. marts 2025. Vietnam er blevet et hotspot for cyberkriminel aktivitet, især involverende tyveri af malware, der er rettet mod platforme som Facebook.
AI som den nye lokkemad til malware
Det er ikke nyt at udnytte offentlighedens fascination af kunstig intelligens. I 2023 rapporterede Meta, at de havde fjernet over 1.000 ondsindede URL'er, der var designet til at efterligne OpenAIs ChatGPT. Disse links er blevet brugt til at distribuere mindst 10 forskellige malwarefamilier siden marts 2023, hvilket viser, at AI-tema-svindel fortsat er et stærkt værktøj i cyberkriminelles arsenal.
