Noodlophile Stealer
Cibercriminosos estão capitalizando a crescente demanda por ferramentas com tecnologia de IA, criando plataformas falsas e convincentes para induzir usuários a baixar um malware perigoso, chamado Noodlophile, que rouba informações. Ao contrário dos golpes de phishing tradicionais ou de sites de distribuição de software crackeado, esses criminosos criam sites com temática de IA aparentemente legítimos e os promovem por meio de campanhas virais nas redes sociais e grupos do Facebook.
Índice
Engenharia Social via Mídias Sociais
Essas campanhas falsas são habilmente distribuídas em plataformas sociais, com algumas postagens atraindo mais de 62.000 visualizações cada. As páginas imitam serviços reais de criação de conteúdo com IA e são direcionadas a usuários que buscam ferramentas para edição de vídeo e imagem. Perfis falsos notáveis incluem "Luma Dreammachine Al", "Luma Dreammachine" e "gratistuslibros".
Bom demais para ser verdade: a armadilha da IA
Assim que os usuários interagem com as postagens, são direcionados para baixar o que acreditam ser serviços aprimorados por IA para criar vídeos, imagens, logotipos ou sites. Um site fraudulento até imita o CapCut AI, alegando oferecer um editor de vídeo completo com recursos avançados de IA.
A cadeia de infecção começa
Após enviar seus prompts de mídia, os usuários são solicitados a baixar o resultado gerado pela IA. No entanto, em vez de receber o conteúdo, eles, sem saber, baixam um arquivo ZIP malicioso chamado VideoDreamAI.zip. Dentro dele, há um executável disfarçado: VideoDream MachineAI.mp4.exe. A execução desse arquivo desencadeia uma reação em cadeia, começando com a inicialização do legítimo CapCut.exe da ByteDance.
Este binário legítimo serve como uma cortina de fumaça para carregar um componente baseado em .NET chamado CapCutLoader, que então busca e executa uma carga útil baseada em Python (srchost.exe) de um servidor remoto.
A Carga Útil: Noodlophile e Além
O payload final é o Noodlophile Stealer, um malware equipado para exfiltrar credenciais do navegador, dados de carteiras de criptomoedas e outras informações confidenciais. Em algumas variantes, o ladrão é implantado juntamente com um trojan de acesso remoto (RAT), como o XWorm, permitindo o controle persistente sobre o dispositivo da vítima.
Autor de malware com rosto público
Os esforços de atribuição rastrearam o desenvolvimento do Noodlophile até um indivíduo que se acredita residir no Vietnã. Este desenvolvedor, que se identifica no GitHub como um "Desenvolvedor de Malware apaixonado do Vietnã", criou seu perfil em 16 de março de 2025. O Vietnã emergiu como um ponto crítico para atividades de cibercriminosos, particularmente envolvendo malware ladrão que tem como alvo plataformas como o Facebook.
IA como a nova isca para malware
Explorar o fascínio público pela inteligência artificial não é novidade. Em 2023, a Meta relatou a remoção de mais de 1.000 URLs maliciosos projetados para se passar pelo ChatGPT da OpenAI. Esses links foram usados para distribuir pelo menos 10 famílias diferentes de malware desde março de 2023, demonstrando que golpes com IA continuam sendo uma ferramenta poderosa no arsenal dos cibercriminosos.
