Noodlophile Stealer
Οι κυβερνοεγκληματίες εκμεταλλεύονται την αυξανόμενη ζήτηση για εργαλεία που βασίζονται στην Τεχνητή Νοημοσύνη, δημιουργώντας πειστικές, ψεύτικες πλατφόρμες για να παρασύρουν τους χρήστες να κατεβάσουν ένα επικίνδυνο κακόβουλο λογισμικό που κλέβει πληροφορίες και ονομάζεται Noodlophile. Σε αντίθεση με τις παραδοσιακές απάτες ηλεκτρονικού "ψαρέματος" (phishing) ή τους ιστότοπους διανομής λογισμικού που έχουν παραβιαστεί, αυτοί οι δράστες δημιουργούν ιστότοπους με θέμα την Τεχνητή Νοημοσύνη και τους προωθούν μέσω ιογενών καμπανιών κοινωνικής δικτύωσης και ομάδων στο Facebook.
Πίνακας περιεχομένων
Κοινωνική Μηχανική μέσω Κοινωνικών Δικτύων
Αυτές οι ψεύτικες καμπάνιες διανέμονται έξυπνα σε πλατφόρμες κοινωνικής δικτύωσης, με ορισμένες αναρτήσεις να προσελκύουν πάνω από 62.000 προβολές η καθεμία. Οι σελίδες μιμούνται πραγματικές υπηρεσίες δημιουργίας περιεχομένου τεχνητής νοημοσύνης και απευθύνονται σε χρήστες που αναζητούν εργαλεία για επεξεργασία βίντεο και εικόνας. Αξιοσημείωτα ψεύτικα προφίλ περιλαμβάνουν τα «Luma Dreammachine Al», «Luma Dreammachine» και «gratistuslibros».
Πολύ καλό για να είναι αληθινό: Η παγίδα της τεχνητής νοημοσύνης
Μόλις οι χρήστες αλληλεπιδράσουν με τις αναρτήσεις, κατευθύνονται να κατεβάσουν υπηρεσίες που πιστεύουν ότι είναι ενισχυμένες με τεχνητή νοημοσύνη για τη δημιουργία βίντεο, εικόνων, λογότυπων ή ιστοσελίδων. Ένας δόλιος ιστότοπος μιμείται ακόμη και το CapCut AI, ισχυριζόμενος ότι προσφέρει έναν ολοκληρωμένο επεξεργαστή βίντεο με προηγμένες λειτουργίες τεχνητής νοημοσύνης.
Η αλυσίδα μόλυνσης ξεκινά
Αφού ανεβάσουν τα μηνύματα πολυμέσων τους, οι χρήστες καλούνται να κατεβάσουν το αποτέλεσμα που δημιουργείται από την τεχνητή νοημοσύνη. Ωστόσο, αντί να λαμβάνουν περιεχόμενο, κατεβάζουν εν αγνοία τους ένα κακόβουλο αρχείο ZIP με τίτλο VideoDreamAI.zip. Μέσα υπάρχει ένα μεταμφιεσμένο εκτελέσιμο αρχείο: Video Dream MachineAI.mp4.exe. Η εκτέλεση αυτού του αρχείου πυροδοτεί μια αλυσιδωτή αντίδραση, ξεκινώντας με την εκκίνηση του νόμιμου CapCut.exe της ByteDance.
Αυτό το νόμιμο δυαδικό αρχείο χρησιμεύει ως προπέτασμα καπνού για τη φόρτωση ενός στοιχείου που βασίζεται σε .NET με το όνομα CapCutLoader, το οποίο στη συνέχεια ανακτά και εκτελεί ένα ωφέλιμο φορτίο που βασίζεται σε Python (srchost.exe) από έναν απομακρυσμένο διακομιστή.
Το Ωφέλιμο Φορτίο: Νουντλόφιλος και Πέρα από αυτό
Το τελικό ωφέλιμο φορτίο είναι το Noodlophile Stealer, ένα κακόβουλο λογισμικό εξοπλισμένο για να κλέβει τα διαπιστευτήρια του προγράμματος περιήγησης, δεδομένα πορτοφολιού κρυπτονομισμάτων και άλλες ευαίσθητες πληροφορίες. Σε ορισμένες παραλλαγές, το stealer αναπτύσσεται μαζί με ένα trojan απομακρυσμένης πρόσβασης (RAT) όπως το XWorm, επιτρέποντας τον συνεχή έλεγχο της συσκευής του θύματος.
Συγγραφέας κακόβουλου λογισμικού με δημόσιο πρόσωπο
Οι προσπάθειες απόδοσης έχουν εντοπίσει την ανάπτυξη του Noodlophile σε ένα άτομο που πιστεύεται ότι εδρεύει στο Βιετνάμ. Αυτός ο προγραμματιστής, ο οποίος αυτοπροσδιορίζεται στο GitHub ως «παθιασμένος προγραμματιστής κακόβουλου λογισμικού από το Βιετνάμ», δημιούργησε το προφίλ του στις 16 Μαρτίου 2025. Το Βιετνάμ έχει αναδειχθεί σε hotspot για κυβερνοεγκληματική δραστηριότητα, ιδίως όσον αφορά κακόβουλο λογισμικό κλοπής που στοχεύει πλατφόρμες όπως το Facebook.
Η Τεχνητή Νοημοσύνη ως το Νέο Δόλωμα για Κακόβουλο Λογισμικό
Η εκμετάλλευση του δημόσιου ενδιαφέροντος για την τεχνητή νοημοσύνη δεν είναι κάτι καινούργιο. Το 2023, η Meta ανέφερε ότι αφαίρεσε πάνω από 1.000 κακόβουλες διευθύνσεις URL που είχαν σχεδιαστεί για να μιμούνται το ChatGPT της OpenAI. Αυτοί οι σύνδεσμοι έχουν χρησιμοποιηθεί για τη διανομή τουλάχιστον 10 διαφορετικών οικογενειών κακόβουλου λογισμικού από τον Μάρτιο του 2023, αποδεικνύοντας ότι οι απάτες με θέμα την τεχνητή νοημοσύνη εξακολουθούν να αποτελούν ένα ισχυρό εργαλείο στο οπλοστάσιο των κυβερνοεγκληματιών.
