Noodlophile Stealer
Kibernetiniai nusikaltėliai pasinaudoja augančia dirbtinio intelekto valdomų įrankių paklausa kurdami įtikinamas, netikras platformas, skirtas privilioti vartotojus atsisiųsti pavojingą informaciją vagiančią kenkėjišką programą, vadinamą „Noodlophile“. Skirtingai nuo tradicinių sukčiavimo apsimetant aferų ar nulaužtos programinės įrangos platinimo svetainių, šie veikėjai kuria teisėtai atrodančias dirbtinio intelekto tematikos svetaines ir reklamuoja jas per virusines socialinės žiniasklaidos kampanijas ir „Facebook“ grupes.
Turinys
Socialinė inžinerija per socialinę žiniasklaidą
Šios netikros kampanijos sumaniai platinamos socialinėse platformose, o kai kurie įrašai pritraukia daugiau nei 62 000 peržiūrų. Puslapiai apsimetinėja tikromis dirbtinio intelekto turinio kūrimo paslaugomis ir yra skirti vartotojams, ieškantiems vaizdo įrašų ir vaizdų redagavimo įrankių. Žinomi netikri profiliai: „Luma Dreammachine Al“, „Luma Dreammachine“ ir „gratistuslibros“.
Per gerai, kad būtų tiesa: dirbtinio intelekto spąstai
Kai vartotojai sąveikauja su įrašais, jie nukreipiami atsisiųsti tai, ką jie laiko dirbtinio intelekto patobulintomis paslaugomis vaizdo įrašams, vaizdams, logotipams ar svetainėms kurti. Viena sukčiavimo svetainė netgi imituoja „CapCut“ dirbtinį intelektą, teigdama, kad siūlo universalų vaizdo įrašų redagavimo įrankį su pažangiomis dirbtinio intelekto funkcijomis.
Infekcijos grandinės pradžia
Įkėlę medijos užuominas, vartotojai raginami atsisiųsti dirbtinio intelekto sugeneruotą išvestį. Tačiau užuot gavę turinį, jie nesąmoningai atsisiunčia kenkėjišką ZIP archyvą pavadinimu „VideoDreamAI.zip“. Viduje yra užmaskuotas vykdomasis failas: „Video Dream MachineAI.mp4.exe“. Paleidus šį failą, sukeliama grandininė reakcija, pradedant nuo teisėto „ByteDance“ failo „CapCut.exe“ paleidimo.
Šis teisėtas dvejetainis failas tarnauja kaip dūmų uždanga, skirta įkelti .NET pagrindu veikiantį komponentą, vadinamą „CapCutLoader“, kuris tada iš nuotolinio serverio nuskaito ir vykdo „Python“ pagrindu veikiančią naudingąją apkrovą (srchost.exe).
Naudingasis krūvis: „Noodlophile“ ir toliau
Galutinis viruso užtaisas yra „Noodlophile Stealer“ – kenkėjiška programa, skirta naršyklės kredencialus, kriptovaliutų piniginės duomenis ir kitą neskelbtiną informaciją išgauti. Kai kuriuose variantuose vagis diegiamas kartu su nuotolinės prieigos Trojos arkliu (RAT), pvz., „XWorm“, kuris leidžia nuolat kontroliuoti aukos įrenginį.
Kenkėjiškų programų autorius su viešu veidu
Priskyrimo pastangos atskleidė „Noodlophile“ kūrimą, kurį, kaip manoma, rado Vietname gyvenantis asmuo. Šis kūrėjas, kuris „GitHub“ platformoje save identifikuoja kaip „aistringą kenkėjiškų programų kūrėją iš Vietnamo“, sukūrė savo profilį 2025 m. kovo 16 d. Vietnamas tapo kibernetinių nusikaltimų židiniu, ypač susijusiu su kenkėjiškomis programomis, kurios taikosi į tokias platformas kaip „Facebook“.
Dirbtinis intelektas kaip naujas kenkėjiškų programų masalas
Išnaudoti visuomenės susižavėjimą dirbtiniu intelektu nėra naujiena. 2023 m. „Meta“ pranešė, kad pašalino daugiau nei 1000 kenkėjiškų URL adresų, skirtų apsimesti „OpenAI“ „ChatGPT“. Nuo 2023 m. kovo mėn. šios nuorodos buvo panaudotos platinti mažiausiai 10 skirtingų kenkėjiškų programų šeimų, o tai rodo, kad dirbtinio intelekto tematikos sukčiavimo atvejai ir toliau yra galingas įrankis kibernetinių nusikaltėlių arsenale.
