Noodlophile Stealer
Киберпреступники извлекают выгоду из растущего спроса на инструменты на базе ИИ, создавая убедительные поддельные платформы, чтобы заманить пользователей на загрузку опасного вредоносного ПО для кражи информации под названием Noodlophile. В отличие от традиционных фишинговых мошенничеств или сайтов распространения взломанного ПО, эти злоумышленники создают легитимно выглядящие веб-сайты на тему ИИ и продвигают их с помощью вирусных кампаний в социальных сетях и групп в Facebook.
Оглавление
Социальная инженерия через социальные сети
Эти фейковые кампании ловко распространяются на социальных платформах, и некоторые посты собирают более 62 000 просмотров каждый. Страницы выдают себя за настоящие службы создания контента на основе ИИ и нацелены на пользователей, ищущих инструменты для редактирования видео и изображений. Известные фейковые профили включают «Luma Dreammachine Al», «Luma Dreammachine» и «gratistuslibros».
Слишком хорошо, чтобы быть правдой: ловушка искусственного интеллекта
Как только пользователи взаимодействуют с постами, им предлагают загрузить то, что они считают улучшенными с помощью ИИ сервисами для создания видео, изображений, логотипов или веб-сайтов. Один мошеннический сайт даже имитирует CapCut AI, утверждая, что предлагает универсальный видеоредактор с расширенными функциями ИИ.
Начинается цепочка заражения
После загрузки своих медиа-подсказок пользователям предлагается загрузить сгенерированный ИИ вывод. Однако вместо получения контента они неосознанно скачивают вредоносный ZIP-архив под названием VideoDreamAI.zip. Внутри находится замаскированный исполняемый файл: Video Dream MachineAI.mp4.exe. Запуск этого файла запускает цепную реакцию, начиная с запуска легитимного CapCut.exe от ByteDance.
Этот легитимный двоичный файл служит дымовой завесой для загрузки компонента на основе .NET с именем CapCutLoader, который затем извлекает и выполняет полезную нагрузку на основе Python (srchost.exe) с удаленного сервера.
Полезная нагрузка: Лапшофилы и не только
Последняя полезная нагрузка — Noodlophile Stealer, вредоносное ПО, способное изымать учетные данные браузера, данные криптовалютного кошелька и другую конфиденциальную информацию. В некоторых вариантах стиллер развертывается вместе с трояном удаленного доступа (RAT), таким как XWorm, что позволяет осуществлять постоянный контроль над устройством жертвы.
Автор вредоносного ПО с публичным лицом
Усилия по установлению авторства отследили разработку Noodlophile до человека, предположительно находящегося во Вьетнаме. Этот разработчик, который называет себя на GitHub «увлеченным разработчиком вредоносного ПО из Вьетнама», создал свой профиль 16 марта 2025 года. Вьетнам стал горячей точкой для киберпреступной деятельности, особенно связанной с вредоносным ПО для кражи, нацеленным на такие платформы, как Facebook.
ИИ как новая приманка для вредоносного ПО
Использование общественного интереса к искусственному интеллекту не является чем-то новым. В 2023 году Meta сообщила об удалении более 1000 вредоносных URL-адресов, предназначенных для имитации ChatGPT OpenAI. Эти ссылки использовались для распространения по меньшей мере 10 различных семейств вредоносных программ с марта 2023 года, что свидетельствует о том, что мошенничество на тему ИИ продолжает оставаться мощным инструментом в арсенале киберпреступников.
