Noodlophile Stealer
Kyberrikolliset hyötyvät tekoälypohjaisten työkalujen kasvavasta kysynnästä luomalla vakuuttavia, väärennettyjä alustoja houkutellakseen käyttäjiä lataamaan vaarallisen, tietoja varastavan haittaohjelman nimeltä Noodlophile. Toisin kuin perinteiset tietojenkalasteluhuijaukset tai murrettujen ohjelmistojen jakelusivustot, nämä toimijat luovat laillisen näköisiä tekoälyaiheisia verkkosivustoja ja mainostavat niitä viraalien sosiaalisen median kampanjoiden ja Facebook-ryhmien kautta.
Sisällysluettelo
Sosiaalinen manipulointi sosiaalisen median kautta
Näitä valekampanjoita jaetaan ovelasti sosiaalisen median alustoilla, ja jotkut julkaisut ovat keränneet yli 62 000 katselukertaa kukin. Sivut jäljittelevät oikeita tekoälypohjaisia sisällöntuotantopalveluita ja on suunnattu käyttäjille, jotka etsivät työkaluja video- ja kuvankäsittelyyn. Tunnettuja valeprofiileja ovat muun muassa 'Luma Dreammachine Al', 'Luma Dreammachine' ja 'gratistuslibros'.
Liian hyvää ollakseen totta: tekoälyn ansa
Kun käyttäjät lukevat julkaisuja, heitä ohjataan lataamaan heidän mielestään tekoälyllä parannettuja palveluita videoiden, kuvien, logojen tai verkkosivustojen luomiseen. Yksi huijaussivusto jopa matkii CapCut-tekoälyä väittäen tarjoavansa monipuolisen videonmuokkausohjelman edistyneillä tekoälyominaisuuksilla.
Tartuntaketju alkaa
Ladattuaan mediakehotteensa käyttäjiä pyydetään lataamaan tekoälyn luoma tuotos. Sisällön vastaanottamisen sijaan he kuitenkin lataavat tietämättään haitallisen ZIP-arkiston nimeltä VideoDreamAI.zip. Sen sisällä on naamioitu suoritettava tiedosto: Video Dream MachineAI.mp4.exe. Tiedoston suorittaminen laukaisee ketjureaktion, joka alkaa ByteDancen laillisen CapCut.exe-tiedoston käynnistymisestä.
Tämä laillinen binääritiedosto toimii savuverhona .NET-pohjaisen CapCutLoader-komponentin lataamiselle, joka sitten hakee ja suorittaa Python-pohjaisen hyötykuorman (srchost.exe) etäpalvelimelta.
Hyötykuorma: Noodlophile ja sen jälkeen
Viimeinen hyötykuorma on Noodlophile Stealer, haittaohjelma, joka on varustettu varastamaan selaintietoja, kryptovaluuttalompakoiden tietoja ja muita arkaluonteisia tietoja. Joissakin muunnelmissa varastaja on käytössä etäkäyttötroijalaisen (RAT), kuten XWormin, rinnalla, mikä mahdollistaa uhrin laitteen pysyvän hallinnan.
Haittaohjelmien tekijä, jolla on julkinen kasvot
Nimeämisyritykset ovat jäljittäneet Noodlophilen kehitystyön henkilöön, jonka uskotaan asuvan Vietnamissa. Tämä kehittäjä, joka esittelee itsensä GitHubissa "intohimoiseksi haittaohjelmakehittäjäksi Vietnamista", loi profiilinsa 16. maaliskuuta 2025. Vietnamista on tullut kyberrikollisuuden keskus, erityisesti sellaisten varastajien haittaohjelmien osalta, jotka kohdistuvat alustoihin kuten Facebook.
Tekoäly uutena haittaohjelmien syöttinä
Yleisön tekoälyyn kohdistuvan kiinnostuksen hyödyntäminen ei ole uusi asia. Vuonna 2023 Meta raportoi poistaneensa yli 1 000 haitallista URL-osoitetta, jotka oli suunniteltu jäljittelemään OpenAI:n ChatGPT:tä. Näitä linkkejä on käytetty ainakin 10 eri haittaohjelmaperheen levittämiseen maaliskuusta 2023 lähtien, mikä osoittaa, että tekoälyaiheiset huijaukset ovat edelleen tehokas työkalu kyberrikollisuuden arsenaalissa.
