Noodlophile Stealer
Nettkriminelle utnytter den økende etterspørselen etter AI-drevne verktøy ved å lage overbevisende, falske plattformer for å lokke brukere til å laste ned en farlig informasjonsstjelende skadevare kalt Noodlophile. I motsetning til tradisjonelle phishing-svindelforsøk eller nettsteder for distribusjon av hacket programvare, lager disse aktørene legitime AI-inspirerte nettsteder og markedsfører dem gjennom virale sosiale mediekampanjer og Facebook-grupper.
Innholdsfortegnelse
Sosial manipulering via sosiale medier
Disse falske kampanjene er smart distribuert på sosiale plattformer, og noen innlegg tiltrekker seg over 62 000 visninger hver. Sidene utgir seg for å være ekte AI-innholdsproduksjonstjenester og er rettet mot brukere som søker verktøy for video- og bilderedigering. Merkbare falske profiler inkluderer «Luma Dreammachine Al», «Luma Dreammachine» og «gratistuslibros».
For godt til å være sant: AI-fellen
Når brukerne engasjerer seg i innleggene, blir de bedt om å laste ned det de tror er AI-forbedrede tjenester for å lage videoer, bilder, logoer eller nettsteder. Ett svindelnettsted etterligner til og med CapCut AI og hevder å tilby en alt-i-ett-videoredigerer med avanserte AI-funksjoner.
Infeksjonskjeden begynner
Etter at brukerne har lastet opp mediemeldingene sine, blir de bedt om å laste ned den AI-genererte utdataen. I stedet for å motta innhold, laster de imidlertid uvitende ned et skadelig ZIP-arkiv med tittelen VideoDreamAI.zip. Inni ligger en skjult kjørbar fil: Video Dream MachineAI.mp4.exe. Kjøring av denne filen utløser en kjedereaksjon, som starter med oppstarten av ByteDances legitime CapCut.exe.
Denne legitime binærfilen fungerer som et røykteppe for å laste inn en .NET-basert komponent kalt CapCutLoader, som deretter henter og kjører en Python-basert nyttelast (srchost.exe) fra en ekstern server.
Nyttelasten: Nudelfil og utover
Den siste nyttelasten er Noodlophile Stealer, skadelig programvare utstyrt til å stramme inn nettleserlegitimasjon, kryptovaluta-lommebokdata og annen sensitiv informasjon. I noen varianter distribueres tyveren sammen med en ekstern tilgangstrojaner (RAT) som XWorm, noe som muliggjør vedvarende kontroll over offerets enhet.
Skadevareutvikler med et offentlig ansikt
Attribusjonsforsøk har sporet Noodlophiles utvikling til en person som antas å være basert i Vietnam. Denne utvikleren, som identifiserer seg selv på GitHub som en «lidenskapelig skadevareutvikler fra Vietnam», opprettet profilen sin 16. mars 2025. Vietnam har blitt et hotspot for nettkriminell aktivitet, spesielt knyttet til stjeling av skadevare som retter seg mot plattformer som Facebook.
AI som det nye agnet for skadelig programvare
Det er ikke nytt å utnytte publikums fascinasjon for kunstig intelligens. I 2023 rapporterte Meta at de fjernet over 1000 ondsinnede URL-er som var utformet for å etterligne OpenAIs ChatGPT. Disse lenkene har blitt brukt til å distribuere minst 10 forskjellige skadevarefamilier siden mars 2023, noe som viser at AI-relaterte svindelforsøk fortsatt er et kraftig verktøy i nettkriminelles arsenal.
