Noodlophile Stealer
Infractorii cibernetici profită de cererea tot mai mare de instrumente bazate pe inteligență artificială prin crearea de platforme false și convingătoare pentru a atrage utilizatorii să descarce un malware periculos, numit Noodlophile, care fură informații. Spre deosebire de escrocheriile tradiționale de phishing sau de site-urile de distribuție de software piratat, acești actori creează site-uri web cu tematică de inteligență artificială, cu aspect legitim, și le promovează prin campanii virale pe rețelele sociale și grupuri de Facebook.
Cuprins
Inginerie socială prin intermediul rețelelor sociale
Aceste campanii false sunt distribuite inteligent pe platformele sociale, unele postări atrăgând peste 62.000 de vizualizări fiecare. Paginile se dau drept servicii reale de creare de conținut bazate pe inteligență artificială și sunt destinate utilizatorilor care caută instrumente pentru editarea video și a imaginilor. Printre profilurile false notabile se numără „Luma Dreammachine Al”, „Luma Dreammachine” și „gratistuslibros”.
Prea frumos ca să fie adevărat: Capcana inteligenței artificiale
Odată ce utilizatorii interacționează cu postările, aceștia sunt direcționați să descarce ceea ce cred că sunt servicii îmbunătățite de inteligență artificială pentru crearea de videoclipuri, imagini, logo-uri sau site-uri web. Un site fraudulos chiar imită CapCut AI, pretinzând că oferă un editor video all-in-one cu funcții avansate de inteligență artificială.
Lanțul infecțiilor începe
După încărcarea mesajelor media, utilizatorii sunt rugați să descarce rezultatul generat de inteligența artificială. Cu toate acestea, în loc să primească conținut, aceștia descarcă, fără să știe, o arhivă ZIP malițioasă numită VideoDreamAI.zip. În interior se află un executabil deghizat: Video Dream MachineAI.mp4.exe. Rularea acestui fișier declanșează o reacție în lanț, începând cu lansarea fișierului legitim CapCut.exe al ByteDance.
Acest fișier binar legitim servește drept perdea de fum pentru a încărca o componentă bazată pe .NET numită CapCutLoader, care apoi preia și execută o sarcină utilă bazată pe Python (srchost.exe) de pe un server la distanță.
Sarcina utilă: Noodlofil și dincolo de
Sarcina finală este Noodlophile Stealer, un malware echipat pentru a exfiltra datele de autentificare ale browserului, datele portofelului de criptomonede și alte informații sensibile. În unele variante, virusul este implementat alături de un troian de acces la distanță (RAT), cum ar fi XWorm, permițând controlul persistent asupra dispozitivului victimei.
Autor de malware cu o față publică
Eforturile de atribuire au urmărit dezvoltarea Noodlophile până la o persoană despre care se crede că se află în Vietnam. Acest dezvoltator, care se autoidentifică pe GitHub drept „dezvoltator pasionat de malware din Vietnam”, și-a creat profilul pe 16 martie 2025. Vietnamul a devenit un punct fierbinte pentru activitatea infracțională cibernetică, în special în ceea ce privește programele malware care fură informații și vizează platforme precum Facebook.
Inteligența artificială ca noua momeală pentru programe malware
Exploatarea fascinației publicului pentru inteligența artificială nu este o noutate. În 2023, Meta a raportat eliminarea a peste 1.000 de adrese URL malițioase concepute pentru a imita ChatGPT-ul OpenAI. Aceste linkuri au fost folosite pentru a distribui cel puțin 10 familii diferite de programe malware din martie 2023, demonstrând că escrocheriile cu tematică de inteligență artificială continuă să fie un instrument puternic în arsenalul infractorilor cibernetici.
