Noodlophile Stealer
Cyberprzestępcy wykorzystują rosnący popyt na narzędzia oparte na sztucznej inteligencji, tworząc przekonujące, fałszywe platformy, aby zwabić użytkowników do pobrania niebezpiecznego złośliwego oprogramowania kradnącego informacje o nazwie Noodlophile. W przeciwieństwie do tradycyjnych oszustw phishingowych lub witryn dystrybucji zhakowanego oprogramowania, ci aktorzy tworzą legalnie wyglądające witryny o tematyce sztucznej inteligencji i promują je za pośrednictwem wirusowych kampanii w mediach społecznościowych i grup na Facebooku.
Spis treści
Inżynieria społeczna za pośrednictwem mediów społecznościowych
Te fałszywe kampanie są sprytnie dystrybuowane na platformach społecznościowych, a niektóre posty przyciągają ponad 62 000 wyświetleń każdy. Strony podszywają się pod prawdziwe usługi tworzenia treści AI i są skierowane do użytkowników poszukujących narzędzi do edycji wideo i obrazów. Godne uwagi fałszywe profile to „Luma Dreammachine Al”, „Luma Dreammachine” i „gratistuslibros”.
Zbyt piękne, żeby było prawdziwe: pułapka sztucznej inteligencji
Gdy użytkownicy zaangażują się w posty, są kierowani do pobrania tego, co uważają za usługi ulepszone przez AI do tworzenia filmów, obrazów, logo lub stron internetowych. Jedna oszukańcza strona naśladuje nawet CapCut AI, twierdząc, że oferuje uniwersalny edytor wideo z zaawansowanymi funkcjami AI.
Rozpoczyna się łańcuch infekcji
Po przesłaniu komunikatów multimedialnych użytkownicy są proszeni o pobranie wygenerowanego przez AI wyniku. Jednak zamiast otrzymywać treści, nieświadomie pobierają złośliwe archiwum ZIP o nazwie VideoDreamAI.zip. Wewnątrz znajduje się ukryty plik wykonywalny: Video Dream MachineAI.mp4.exe. Uruchomienie tego pliku uruchamia reakcję łańcuchową, rozpoczynającą się od uruchomienia legalnego CapCut.exe firmy ByteDance.
Ten legalny plik binarny stanowi zasłonę dymną umożliwiającą załadowanie komponentu opartego na platformie .NET o nazwie CapCutLoader, który następnie pobiera i wykonuje ładunek oparty na języku Python (srchost.exe) ze zdalnego serwera.
Ładunek: Noodlophile i nie tylko
Ostatnim ładunkiem jest Noodlophile Stealer, malware wyposażony w celu wykradania danych uwierzytelniających przeglądarki, danych portfela kryptowaluty i innych poufnych informacji. W niektórych wariantach stealer jest wdrażany wraz z trojanem zdalnego dostępu (RAT), takim jak XWorm, umożliwiając trwałą kontrolę nad urządzeniem ofiary.
Autor złośliwego oprogramowania z publiczną twarzą
Działania mające na celu ustalenie atrybucji doprowadziły do wykrycia rozwoju Noodlophile u osoby, o której uważa się, że mieszka w Wietnamie. Ten programista, który na GitHub identyfikuje się jako „pasjonat złośliwego oprogramowania z Wietnamu”, utworzył swój profil 16 marca 2025 r. Wietnam stał się ogniskiem cyberprzestępczości, w szczególności obejmującej złośliwe oprogramowanie typu stealer, które atakuje platformy takie jak Facebook.
Sztuczna inteligencja jako nowa przynęta na złośliwe oprogramowanie
Wykorzystywanie publicznej fascynacji sztuczną inteligencją nie jest niczym nowym. W 2023 r. Meta poinformowała o usunięciu ponad 1000 złośliwych adresów URL zaprojektowanych w celu podszywania się pod ChatGPT firmy OpenAI. Od marca 2023 r. linki te były używane do dystrybucji co najmniej 10 różnych rodzin złośliwego oprogramowania, co pokazuje, że oszustwa związane ze sztuczną inteligencją nadal stanowią potężne narzędzie w arsenale cyberprzestępców.
