Noodlophile Stealer

مجرمان سایبری با ایجاد پلتفرم‌های جعلی و متقاعدکننده، از تقاضای روزافزون برای ابزارهای مبتنی بر هوش مصنوعی سوءاستفاده می‌کنند تا کاربران را به دانلود یک بدافزار خطرناک سرقت اطلاعات به نام Noodlophile ترغیب کنند. برخلاف کلاهبرداری‌های فیشینگ سنتی یا سایت‌های توزیع نرم‌افزارهای کرک‌شده، این مجرمان وب‌سایت‌هایی با ظاهر قانونی و با تم هوش مصنوعی می‌سازند و آنها را از طریق کمپین‌های ویروسی رسانه‌های اجتماعی و گروه‌های فیس‌بوک تبلیغ می‌کنند.

مهندسی اجتماعی از طریق رسانه‌های اجتماعی

این کمپین‌های جعلی به طور هوشمندانه‌ای در پلتفرم‌های اجتماعی توزیع می‌شوند و برخی از پست‌ها هر کدام بیش از ۶۲۰۰۰ بازدید دارند. این صفحات، سرویس‌های تولید محتوای هوش مصنوعی واقعی را جعل می‌کنند و کاربرانی را هدف قرار می‌دهند که به دنبال ابزارهایی برای ویرایش ویدیو و تصویر هستند. از جمله پروفایل‌های جعلی قابل توجه می‌توان به «Luma Dreammachine Al»، «Luma Dreammachine» و «gratistuslibros» اشاره کرد.

بیش از حد خوب برای واقعی بودن: تله هوش مصنوعی

وقتی کاربران با پست‌ها تعامل می‌کنند، به سمت دانلود سرویس‌هایی هدایت می‌شوند که به باور آنها، سرویس‌هایی مبتنی بر هوش مصنوعی برای ساخت ویدیو، تصویر، لوگو یا وب‌سایت هستند. یک سایت کلاهبردار حتی از CapCut AI تقلید می‌کند و ادعا می‌کند که یک ویرایشگر ویدیوی همه‌کاره با ویژگی‌های پیشرفته هوش مصنوعی ارائه می‌دهد.

زنجیره عفونت آغاز می‌شود

پس از آپلود پیام‌های رسانه‌ای، از کاربران خواسته می‌شود تا خروجی تولید شده توسط هوش مصنوعی خود را دانلود کنند. با این حال، به جای دریافت محتوا، آنها ناآگاهانه یک فایل فشرده مخرب با عنوان VideoDreamAI.zip را دانلود می‌کنند. در داخل آن یک فایل اجرایی مبدل وجود دارد: Video Dream MachineAI.mp4.exe. اجرای این فایل باعث ایجاد یک واکنش زنجیره‌ای می‌شود که با اجرای CapCut.exe قانونی ByteDance آغاز می‌شود.

این فایل باینری قانونی به عنوان پوششی برای بارگذاری یک مولفه مبتنی بر .NET به نام CapCutLoader عمل می‌کند، که سپس یک payload مبتنی بر پایتون (srchost.exe) را از یک سرور راه دور دریافت و اجرا می‌کند.

بار مفید: نودلی‌فیل و فراتر از آن

آخرین محموله، بدافزار Noodlophile Stealer است که برای سرقت اطلاعات محرمانه مرورگر، داده‌های کیف پول ارزهای دیجیتال و سایر اطلاعات حساس مجهز شده است. در برخی از انواع، این بدافزار در کنار یک تروجان دسترسی از راه دور (RAT) مانند XWorm مستقر می‌شود و امکان کنترل مداوم دستگاه قربانی را فراهم می‌کند.

نویسنده بدافزار با چهره‌ای عمومی

تلاش‌های مربوط به انتساب، توسعه‌ی نودلوفیل را به فردی که گمان می‌رود ساکن ویتنام باشد، ردیابی کرده‌اند. این توسعه‌دهنده که در گیت‌هاب خود را به عنوان «توسعه‌دهنده‌ی پرشور بدافزار از ویتنام» معرفی می‌کند، پروفایل خود را در ۱۶ مارس ۲۰۲۵ ایجاد کرده است. ویتنام به عنوان کانون فعالیت‌های مجرمان سایبری، به‌ویژه بدافزارهای سارق که پلتفرم‌هایی مانند فیس‌بوک را هدف قرار می‌دهند، ظهور کرده است.

هوش مصنوعی به عنوان طعمه جدید بدافزارها

سوءاستفاده از علاقه عمومی به هوش مصنوعی چیز جدیدی نیست. در سال ۲۰۲۳، متا گزارش داد که بیش از ۱۰۰۰ آدرس اینترنتی مخرب را که برای جعل هویت ChatGPT شرکت OpenAI طراحی شده بودند، حذف کرده است. این لینک‌ها از مارس ۲۰۲۳ برای توزیع حداقل ۱۰ خانواده بدافزار مختلف استفاده شده‌اند که نشان می‌دهد کلاهبرداری‌های با موضوع هوش مصنوعی همچنان ابزاری قدرتمند در زرادخانه جرایم سایبری هستند.