Noodlophile Stealer
Penjenayah siber memanfaatkan permintaan yang semakin meningkat untuk alatan berkuasa AI dengan mencipta platform palsu yang meyakinkan untuk menarik pengguna memuat turun perisian hasad berbahaya yang mencuri maklumat bernama Nodlophile. Tidak seperti penipuan pancingan data tradisional atau tapak pengedaran perisian yang retak, pelakon ini mencipta laman web bertemakan AI yang kelihatan sah dan mempromosikannya melalui kempen media sosial yang tular dan kumpulan Facebook.
Isi kandungan
Kejuruteraan Sosial melalui Media Sosial
Kempen palsu ini diedarkan dengan bijak di platform sosial, dengan beberapa siaran menarik lebih 62,000 tontonan setiap satu. Halaman tersebut menyamar sebagai perkhidmatan penciptaan kandungan AI sebenar dan bertujuan untuk pengguna yang mencari alatan untuk penyuntingan video dan imej. Profil palsu yang terkenal termasuk 'Luma Dreammachine Al,' 'Luma Dreammachine' dan 'gratistuslibros.'
Too Good to Be True: Perangkap AI
Setelah pengguna terlibat dengan siaran, mereka diarahkan untuk memuat turun perkara yang mereka percaya sebagai perkhidmatan dipertingkatkan AI untuk mencipta video, imej, logo atau tapak web. Satu tapak penipuan malah meniru CapCut AI, mendakwa menawarkan editor video semua-dalam-satu dengan ciri AI lanjutan.
Rantaian Jangkitan Bermula
Selepas memuat naik gesaan media mereka, pengguna digesa untuk memuat turun output yang dijana AI mereka. Walau bagaimanapun, daripada menerima kandungan, mereka secara tidak sedar memuat turun arkib ZIP berniat jahat bertajuk VideoDreamAI.zip. Di dalamnya adalah boleh laku yang menyamar: Video Dream MachineAI.mp4.exe. Menjalankan fail ini mencetuskan tindak balas berantai, bermula dengan pelancaran CapCut.exe yang sah ByteDance.
Perduaan yang sah ini berfungsi sebagai skrin asap untuk memuatkan komponen berasaskan .NET bernama CapCutLoader, yang kemudiannya mengambil dan melaksanakan muatan berasaskan Python (srchost.exe) daripada pelayan jauh.
Muatan: Nodlophile dan Beyond
Muatan terakhir ialah Nodlophile Stealer, perisian hasad yang dilengkapi untuk mengeluarkan bukti kelayakan penyemak imbas, data dompet mata wang kripto dan maklumat sensitif lain. Dalam beberapa varian, pencuri digunakan bersama trojan akses jauh (RAT) seperti XWorm, membolehkan kawalan berterusan ke atas peranti mangsa.
Pengarang Perisian Hasad dengan Wajah Awam
Usaha atribusi telah mengesan perkembangan Nodlophile kepada individu yang dipercayai berpangkalan di Vietnam. Pembangun ini, yang mengenal pasti sendiri di GitHub sebagai 'Pembangun Perisian Hasad yang bersemangat dari Vietnam,' telah mencipta profil mereka pada 16 Mac 2025. Vietnam telah muncul sebagai tempat tumpuan untuk aktiviti jenayah siber, terutamanya melibatkan perisian hasad pencuri yang menyasarkan platform seperti Facebook.
AI sebagai Umpan Hasad Baharu
Mengeksploitasi daya tarikan orang ramai dengan kecerdasan buatan bukanlah perkara baru. Pada tahun 2023, Meta melaporkan mengalih keluar lebih 1,000 URL hasad yang direka untuk menyamar sebagai ChatGPT OpenAI. Pautan ini telah digunakan untuk mengedarkan sekurang-kurangnya 10 keluarga perisian hasad yang berbeza sejak Mac 2023, menunjukkan bahawa penipuan bertemakan AI terus menjadi alat yang berkuasa dalam senjata penjenayah siber.
