Noodlophile Stealer
Kibernetički kriminalci iskorištavaju rastuću potražnju za alatima pokretanim umjetnom inteligencijom stvaranjem uvjerljivih, lažnih platformi kako bi namamili korisnike na preuzimanje opasnog zlonamjernog softvera za krađu informacija pod nazivom Noodlophile. Za razliku od tradicionalnih phishing prijevara ili web-mjesta za distribuciju crackiranog softvera, ovi akteri izrađuju legitimne web-mjesta s umjetnom inteligencijom i promoviraju ih putem viralnih kampanja na društvenim mrežama i Facebook grupa.
Sadržaj
Socijalni inženjering putem društvenih medija
Ove lažne kampanje vješto se distribuiraju na društvenim platformama, a neke objave privlače preko 62 000 pregleda. Stranice se lažno predstavljaju kao prave usluge stvaranja sadržaja temeljene na umjetnoj inteligenciji i namijenjene su korisnicima koji traže alate za uređivanje videa i slika. Poznati lažni profili uključuju 'Luma Dreammachine Al', 'Luma Dreammachine' i 'gratistuslibros'.
Previše dobro da bi bilo istinito: Zamka umjetne inteligencije
Nakon što korisnici reagiraju na objave, upućuje ih se na preuzimanje onoga što smatraju uslugama poboljšanim umjetnom inteligencijom za izradu videa, slika, logotipa ili web stranica. Jedna lažna stranica čak oponaša CapCut AI, tvrdeći da nudi sveobuhvatni video editor s naprednim AI značajkama.
Lanac infekcije počinje
Nakon što prenesu svoje medijske upite, korisnici se pozivaju da preuzmu svoj izlaz generiran umjetnom inteligencijom. Međutim, umjesto da prime sadržaj, nesvjesno preuzimaju zlonamjernu ZIP arhivu pod nazivom VideoDreamAI.zip. Unutra se nalazi prikrivena izvršna datoteka: Video Dream MachineAI.mp4.exe. Pokretanje ove datoteke pokreće lančanu reakciju, počevši s pokretanjem legitimne datoteke ByteDance CapCut.exe.
Ovaj legitimni binarni fajl služi kao paravan za učitavanje .NET komponente pod nazivom CapCutLoader, koja zatim dohvaća i izvršava Python-bazirani payload (srchost.exe) s udaljenog servera.
Teret: Noodlophile i dalje
Konačni korisni sadržaj je Noodlophile Stealer, zlonamjerni softver opremljen za krađu podataka preglednika, podataka o kriptovalutnim novčanicima i drugih osjetljivih informacija. U nekim varijantama, kradljivac se koristi uz trojanca za udaljeni pristup (RAT) poput XWorma, omogućujući trajnu kontrolu nad uređajem žrtve.
Autor zlonamjernog softvera s javnim licem
Napori atribucije pratili su razvoj Noodlophila do osobe za koju se vjeruje da živi u Vijetnamu. Ovaj programer, koji se na GitHubu identificira kao "strastveni programer zlonamjernog softvera iz Vijetnama", kreirao je svoj profil 16. ožujka 2025. Vijetnam se pojavio kao žarište za kibernetičke kriminalne aktivnosti, posebno one koje uključuju kradljivce zlonamjernog softvera koji cilja platforme poput Facebooka.
Umjetna inteligencija kao novi mamac za zlonamjerni softver
Iskorištavanje javne fascinacije umjetnom inteligencijom nije novost. Meta je 2023. godine izvijestila o uklanjanju preko 1000 zlonamjernih URL-ova dizajniranih da oponašaju OpenAI-jev ChatGPT. Ove su poveznice korištene za distribuciju najmanje 10 različitih obitelji zlonamjernog softvera od ožujka 2023., što pokazuje da su prijevare s umjetnom inteligencijom i dalje moćan alat u arsenalu kibernetičkog kriminala.
