Noodlophile Stealer
Küberkurjategijad kasutavad ära tehisintellektil põhinevate tööriistade kasvavat nõudlust, luues veenvaid võltsplatvorme, et meelitada kasutajaid alla laadima ohtlikku teavet varastavat pahavara nimega Noodlophile. Erinevalt traditsioonilistest andmepüügipettustest või krüptitud tarkvara levitamissaitidest loovad need tegijad legitiimse välimusega tehisintellektil põhinevaid veebisaite ja reklaamivad neid viiruslike sotsiaalmeedia kampaaniate ja Facebooki gruppide kaudu.
Sisukord
Sotsiaalne manipuleerimine sotsiaalmeedia kaudu
Neid võltskampaaniaid levitatakse nutikalt sotsiaalmeediaplatvormidel ning mõned postitused koguvad üle 62 000 vaatamise. Leheküljed imiteerivad päris tehisintellektil põhinevaid sisuloometeenuseid ja on suunatud kasutajatele, kes otsivad video- ja pilditöötlustööriistu. Märkimisväärsete võltsprofiilide hulka kuuluvad „Luma Dreammachine Al”, „Luma Dreammachine” ja „gratistuslibros”.
Liiga hea, et olla tõsi: tehisintellekti lõks
Kui kasutajad postitustega tegelevad, suunatakse nad alla laadima teenuseid, mida nad peavad tehisintellektiga täiustatud teenusteks videote, piltide, logode või veebisaitide loomiseks. Üks petturlik sait matkib isegi CapCut tehisintellekti, väites, et pakub kõikehõlmavat videotöötlusprogrammi täiustatud tehisintellekti funktsioonidega.
Nakkusahel algab
Pärast meediaülesannete üleslaadimist palutakse kasutajatel alla laadida tehisintellekti loodud väljund. Sisu asemel laadivad nad aga teadmatult alla pahatahtliku ZIP-arhiivi nimega VideoDreamAI.zip. Selle sees on varjatud käivitatav fail: Video Dream MachineAI.mp4.exe. Selle faili käivitamine käivitab ahelreaktsiooni, mis algab ByteDance'i legitiimse CapCut.exe käivitamisega.
See legitiimne binaarfail toimib suitsukattena .NET-põhise komponendi CapCutLoader laadimiseks, mis seejärel hangib ja käivitab kaugserverist Pythoni-põhise kasuliku koormuse (srchost.exe).
Kasulik koormus: Noodlofiil ja kaugemalgi
Viimane kasulik objekt on Noodlophile Stealer – pahavara, mis on varustatud brauseri sisselogimisandmete, krüptovaluuta rahakoti andmete ja muu tundliku teabe väljafiltreerimiseks. Mõnes variandis on varastaja paigutatud koos kaugjuurdepääsuga troojaga (RAT), näiteks XWormiga, mis võimaldab ohvri seadme üle püsivat kontrolli.
Pahavara autor avaliku näoga
Omistamispüüdlused on jälginud Noodlophile'i arenduse algust isikuni, kes arvatakse elavat Vietnamis. See arendaja, kes identifitseerib end GitHubis kui „kirglikku pahavara arendajat Vietnamist“, lõi oma profiili 16. märtsil 2025. Vietnam on kujunenud küberkuritegevuse levialaks, eriti seoses varastaja pahavaraga, mis sihib selliseid platvorme nagu Facebook.
Tehisintellekt kui uus pahavara sööt
Avalikkuse huvi tehisintellekti vastu ärakasutamine pole uus asi. 2023. aastal teatas Meta, et eemaldas üle 1000 pahatahtliku URL-i, mis olid loodud OpenAI ChatGPT-d jäljendama. Neid linke on alates 2023. aasta märtsist kasutatud vähemalt 10 erineva pahavara perekonna levitamiseks, mis näitab, et tehisintellektiga seotud pettused on jätkuvalt võimas tööriist küberkurjategijate arsenalis.
