Noodlophile Stealer
Kyberzločinci využívajú rastúci dopyt po nástrojoch založených na umelej inteligencii vytváraním presvedčivých falošných platforiem, ktoré nalákajú používateľov k stiahnutiu nebezpečného malvéru s názvom Noodlophile, ktorý kradne informácie. Na rozdiel od tradičných phishingových podvodov alebo stránok na distribúciu cracknutého softvéru títo aktéri vytvárajú legitímne vyzerajúce webové stránky s tematikou umelej inteligencie a propagujú ich prostredníctvom virálnych kampaní na sociálnych sieťach a skupín na Facebooku.
Obsah
Sociálne inžinierstvo prostredníctvom sociálnych médií
Tieto falošné kampane sú šikovne distribuované na sociálnych platformách, pričom niektoré príspevky prilákajú viac ako 62 000 zobrazení. Stránky sa vydávajú za skutočné služby tvorby obsahu s umelou inteligenciou a sú zamerané na používateľov, ktorí hľadajú nástroje na úpravu videa a obrázkov. Medzi pozoruhodné falošné profily patria „Luma Dreammachine Al“, „Luma Dreammachine“ a „gratistuslibros“.
Príliš dobré na to, aby to bola pravda: Pasca umelej inteligencie
Keď používatelia zareagujú na príspevky, sú presmerovaní na stiahnutie toho, čo považujú za služby vylepšené umelou inteligenciou na vytváranie videí, obrázkov, log alebo webových stránok. Jedna podvodná stránka dokonca napodobňuje CapCut AI a tvrdí, že ponúka all-in-one video editor s pokročilými funkciami umelej inteligencie.
Začína sa infekčný reťazec
Po nahraní mediálnych výziev sú používatelia vyzvaní na stiahnutie výstupu vygenerovaného umelou inteligenciou. Namiesto prijatia obsahu si však nevedomky stiahnu škodlivý ZIP archív s názvom VideoDreamAI.zip. Vo vnútri sa nachádza maskovaný spustiteľný súbor: Video Dream MachineAI.mp4.exe. Spustenie tohto súboru spustí reťazovú reakciu, ktorá začína spustením legitímneho súboru CapCut.exe od spoločnosti ByteDance.
Tento legitímny binárny súbor slúži ako zásterka na načítanie komponentu založeného na .NET s názvom CapCutLoader, ktorý potom načíta a spustí súbor založený na Pythone (srchost.exe) zo vzdialeného servera.
Užitočné zaťaženie: Noodlophile a ďalšie
Posledným škodlivým softvérom je Noodlophile Stealer, malvér vybavený na získanie prihlasovacích údajov prehliadača, údajov o kryptomenových peňaženkách a ďalších citlivých informácií. V niektorých variantoch je tento malvér nasadený spolu s trójskym koňom pre vzdialený prístup (RAT), ako je napríklad XWorm, čo umožňuje trvalú kontrolu nad zariadením obete.
Autor malvéru s verejnou tvárou
Úsilie o pripisovanie vysledovalo vývoj Noodlophile k osobe, o ktorej sa predpokladá, že má sídlo vo Vietname. Tento vývojár, ktorý sa na GitHub identifikuje ako „vášnivý vývojár malvéru z Vietnamu“, si vytvoril profil 16. marca 2025. Vietnam sa stal ohniskom kyberkriminálnej činnosti, najmä pokiaľ ide o kradnutie malvéru, ktorý je zameraný na platformy ako Facebook.
AI ako nová návnada na malvér
Zneužívanie verejnej fascinácie umelou inteligenciou nie je ničím novým. V roku 2023 spoločnosť Meta informovala o odstránení viac ako 1 000 škodlivých adries URL navrhnutých tak, aby imitovali ChatGPT od OpenAI. Tieto odkazy boli od marca 2023 použité na distribúciu najmenej 10 rôznych skupín malvéru, čo dokazuje, že podvody s tematikou umelej inteligencie sú naďalej silným nástrojom v arzenáli kyberzločincov.
