Noodlophile Stealer
Cybercriminelen profiteren van de groeiende vraag naar AI-tools door overtuigende, neppe platforms te creëren om gebruikers te verleiden tot het downloaden van de gevaarlijke, informatie stelende malware Noodlophile. In tegenstelling tot traditionele phishing scams of gekraakte softwaredistributiesites, creëren deze actoren legitiem ogende AI-websites en promoten deze via virale socialemediacampagnes en Facebookgroepen.
Inhoudsopgave
Sociale engineering via sociale media
Deze nepcampagnes worden slim verspreid op sociale platforms, waarbij sommige berichten meer dan 62.000 keer bekeken worden. De pagina's imiteren echte AI-contentcreatieservices en zijn gericht op gebruikers die op zoek zijn naar tools voor video- en beeldbewerking. Opvallende nepprofielen zijn onder andere 'Luma Dreammachine Al', 'Luma Dreammachine' en 'gratistuslibros'.
Te mooi om waar te zijn: de AI-val
Zodra gebruikers op de berichten reageren, worden ze doorverwezen naar een website die volgens hen AI-verbeterde diensten zijn voor het maken van video's, afbeeldingen, logo's of websites. Eén frauduleuze website imiteert zelfs CapCut AI en beweert een alles-in-één video-editor met geavanceerde AI-functies aan te bieden.
De infectieketen begint
Na het uploaden van hun mediaprompts worden gebruikers gevraagd hun door AI gegenereerde output te downloaden. In plaats van de content te ontvangen, downloaden ze echter onbewust een schadelijk ZIP-bestand met de naam VideoDreamAI.zip. Daarin bevindt zich een vermomd uitvoerbaar bestand: Video Dream MachineAI.mp4.exe. Het uitvoeren van dit bestand veroorzaakt een kettingreactie, beginnend met de lancering van ByteDance's legitieme CapCut.exe.
Dit legitieme binaire bestand dient als rookgordijn om een op .NET gebaseerd onderdeel met de naam CapCutLoader te laden, dat vervolgens een op Python gebaseerde payload (srchost.exe) ophaalt en uitvoert vanaf een externe server.
De Payload: Noodlophile en verder
De laatste payload is Noodlophile Stealer, malware die is uitgerust om browsergegevens, cryptocurrency wallet-gegevens en andere gevoelige informatie te exfiltreren. In sommige varianten wordt de stealer gebruikt in combinatie met een remote access trojan (RAT) zoals XWorm, waardoor permanente controle over het apparaat van het slachtoffer mogelijk is.
Malware-auteur met een publiek gezicht
Pogingen tot toeschrijving hebben de ontwikkeling van Noodlophile herleid tot een persoon die vermoedelijk in Vietnam woont. Deze ontwikkelaar, die zichzelf op GitHub identificeert als een 'gepassioneerde malwareontwikkelaar uit Vietnam', maakte zijn profiel aan op 16 maart 2025. Vietnam is uitgegroeid tot een hotspot voor cybercriminele activiteiten, met name met stealer-malware die zich richt op platforms zoals Facebook.
AI als het nieuwe lokaas voor malware
Het uitbuiten van de publieke fascinatie voor kunstmatige intelligentie is niet nieuw. In 2023 meldde Meta dat het meer dan 1000 kwaadaardige URL's had verwijderd die bedoeld waren om ChatGPT van OpenAI te imiteren. Deze links zijn sinds maart 2023 gebruikt om minstens 10 verschillende malwarefamilies te verspreiden, wat aantoont dat AI-gerelateerde oplichting een krachtig instrument blijft in het arsenaal van cybercriminelen.
