Noodlophile Stealer
I criminali informatici stanno sfruttando la crescente domanda di strumenti basati sull'intelligenza artificiale creando piattaforme convincenti e fasulle per indurre gli utenti a scaricare un pericoloso malware che ruba informazioni chiamato Noodlophile. A differenza delle tradizionali truffe di phishing o dei siti di distribuzione di software craccati, questi criminali creano siti web a tema IA dall'aspetto legittimo e li promuovono attraverso campagne virali sui social media e gruppi Facebook.
Sommario
Ingegneria sociale tramite social media
Queste campagne false sono abilmente distribuite sulle piattaforme social, con alcuni post che raggiungono oltre 62.000 visualizzazioni ciascuno. Le pagine impersonano veri e propri servizi di creazione di contenuti basati su intelligenza artificiale e sono rivolte a utenti in cerca di strumenti per l'editing di video e immagini. Tra i profili falsi più noti ci sono "Luma Dreammachine Al", "Luma Dreammachine" e "gratistuslibros".
Troppo bello per essere vero: la trappola dell’intelligenza artificiale
Una volta che gli utenti interagiscono con i post, vengono indirizzati a scaricare quelli che ritengono essere servizi potenziati dall'intelligenza artificiale per la creazione di video, immagini, loghi o siti web. Un sito fraudolento imita persino CapCut AI, affermando di offrire un editor video completo con funzionalità di intelligenza artificiale avanzate.
Inizia la catena dell’infezione
Dopo aver caricato i propri contenuti multimediali, agli utenti viene chiesto di scaricare l'output generato dall'IA. Tuttavia, invece di ricevere il contenuto, scaricano inconsapevolmente un archivio ZIP dannoso denominato VideoDreamAI.zip. Al suo interno si trova un file eseguibile camuffato: Video Dream MachineAI.mp4.exe. L'esecuzione di questo file innesca una reazione a catena, che inizia con l'avvio del legittimo CapCut.exe di ByteDance.
Questo binario legittimo funge da cortina fumogena per caricare un componente basato su .NET denominato CapCutLoader, che poi recupera ed esegue un payload basato su Python (srchost.exe) da un server remoto.
Il carico utile: Noodlophile e oltre
Il payload finale è Noodlophile Stealer, un malware in grado di esfiltrare credenziali del browser, dati di wallet di criptovalute e altre informazioni sensibili. In alcune varianti, lo stealer viene distribuito insieme a un trojan di accesso remoto (RAT) come XWorm, consentendo un controllo persistente sul dispositivo della vittima.
Autore di malware con un volto pubblico
Gli sforzi di attribuzione hanno ricondotto lo sviluppo di Noodlophile a un individuo che si ritiene abbia sede in Vietnam. Questo sviluppatore, che si autodefinisce su GitHub come "appassionato sviluppatore di malware vietnamita", ha creato il suo profilo il 16 marzo 2025. Il Vietnam è emerso come un focolaio di attività criminali informatiche, in particolare per quanto riguarda i malware stealer che prendono di mira piattaforme come Facebook.
L’intelligenza artificiale come nuova esca per malware
Sfruttare l'interesse del pubblico per l'intelligenza artificiale non è una novità. Nel 2023, Meta ha segnalato la rimozione di oltre 1.000 URL dannosi progettati per impersonare ChatGPT di OpenAI. Questi link sono stati utilizzati per distribuire almeno 10 diverse famiglie di malware da marzo 2023, a dimostrazione del fatto che le truffe basate sull'intelligenza artificiale continuano a essere uno strumento potente nell'arsenale dei criminali informatici.
