Noodlophile Stealer

사이버 범죄자들은 AI 기반 도구에 대한 수요 증가를 악용하여, Noodlophile이라는 위험한 정보 유출 악성코드를 다운로드하도록 사용자를 유인하는 가짜 플랫폼을 만들고 있습니다. 기존의 피싱 사기나 해킹된 소프트웨어 배포 사이트와는 달리, 이들은 합법적인 것처럼 보이는 AI 테마 웹사이트를 제작하여 소셜 미디어와 페이스북 그룹을 통해 홍보합니다.

소셜 미디어를 통한 사회 공학

이러한 가짜 캠페인은 소셜 플랫폼에 교묘하게 유포되고 있으며, 일부 게시물은 각각 6만 2천 회 이상의 조회수를 기록하기도 합니다. 이 페이지들은 실제 AI 콘텐츠 제작 서비스를 사칭하며, 비디오 및 이미지 편집 도구를 찾는 사용자를 대상으로 합니다. 대표적인 가짜 프로필로는 '루마 드림머신 알(Luma Dreammachine Al)', '루마 드림머신(Luma Dreammachine)', '그라티스투스리브로스(gratistuslibros)' 등이 있습니다.

너무 좋아서 믿기 어려울 정도: AI 함정

사용자가 게시물을 열면 AI가 강화된 비디오, 이미지, 로고 또는 웹사이트 제작 서비스를 다운로드하도록 유도됩니다. 한 사기 사이트는 CapCut AI를 모방하여 고급 AI 기능을 갖춘 올인원 비디오 편집기를 제공한다고 주장합니다.

감염 사슬이 시작됩니다

미디어 메시지를 업로드하면 사용자는 AI가 생성한 결과물을 다운로드하라는 메시지를 받게 됩니다. 하지만 콘텐츠를 받는 대신, 자신도 모르게 VideoDreamAI.zip이라는 악성 ZIP 압축 파일을 다운로드하게 됩니다. 이 파일 안에는 위장된 실행 파일인 Video Dream MachineAI.mp4.exe가 들어 있습니다. 이 파일을 실행하면 ByteDance의 합법적인 CapCut.exe가 실행되면서 연쇄 반응이 발생합니다.

이 합법적인 바이너리는 CapCutLoader라는 .NET 기반 구성 요소를 로드하기 위한 연막막 역할을 하며, 이후 원격 서버에서 Python 기반 페이로드(srchost.exe)를 가져와 실행합니다.

페이로드: 누들파일과 그 너머

최종 페이로드는 Noodlophile Stealer로, 브라우저 인증 정보, 암호화폐 지갑 데이터 및 기타 민감한 정보를 유출할 수 있는 악성코드입니다. 일부 변종에서는 XWorm과 같은 원격 액세스 트로이 목마(RAT)와 함께 배포되어 피해자 기기를 지속적으로 제어할 수 있습니다.

대중의 얼굴을 가진 악성 코드 작성자

출처 확인 결과, Noodlophile의 개발은 베트남에 거주하는 것으로 추정되는 개인에게서 비롯된 것으로 밝혀졌습니다. GitHub에서 자신을 '베트남 출신의 열정적인 악성코드 개발자'라고 소개한 이 개발자는 2025년 3월 16일에 프로필을 생성했습니다. 베트남은 사이버 범죄 활동의 온상으로 떠올랐으며, 특히 페이스북과 같은 플랫폼을 노리는 스틸러 악성코드가 활발하게 활동하고 있습니다.

새로운 맬웨어 미끼로서의 AI

인공지능에 대한 대중의 관심을 악용하는 것은 새로운 일이 아닙니다. 2023년 Meta는 OpenAI의 ChatGPT를 사칭하도록 설계된 악성 URL 1,000개 이상을 제거했다고 보고했습니다. 이 링크들은 2023년 3월 이후 최소 10가지의 악성코드군을 유포하는 데 사용되었으며, 이는 AI를 주제로 한 사기가 사이버 범죄의 강력한 도구로 여전히 활용되고 있음을 보여줍니다.