Noodlophile Stealer
Cyberbrottslingar utnyttjar den växande efterfrågan på AI-drivna verktyg genom att skapa övertygande, falska plattformar för att locka användare att ladda ner en farlig informationsstöldande skadlig kod som heter Noodlophile. Till skillnad från traditionella nätfiskebedrägerier eller webbplatser för distribution av hackad programvara skapar dessa aktörer legitima AI-baserade webbplatser och marknadsför dem via virala kampanjer på sociala medier och Facebook-grupper.
Innehållsförteckning
Social ingenjörskonst via sociala medier
Dessa falska kampanjer distribueras smart på sociala plattformar, och vissa inlägg lockar över 62 000 visningar vardera. Sidorna utger sig för att vara riktiga AI-innehållsskapande tjänster och riktar sig till användare som söker verktyg för video- och bildredigering. Bland anmärkningsvärda falska profiler finns "Luma Dreammachine Al", "Luma Dreammachine" och "gratistuslibros".
För bra för att vara sant: AI-fällan
När användare interagerar med inläggen hänvisas de till att ladda ner vad de tror är AI-förbättrade tjänster för att skapa videor, bilder, logotyper eller webbplatser. En bedräglig webbplats imiterar till och med CapCut AI och påstår sig erbjuda en allt-i-ett-videoredigerare med avancerade AI-funktioner.
Infektionskedjan börjar
Efter att ha laddat upp sina mediemeddelanden uppmanas användarna att ladda ner sin AI-genererade utdata. Men istället för att ta emot innehåll laddar de omedvetet ner ett skadligt ZIP-arkiv med titeln VideoDreamAI.zip. Inuti finns en förklädd körbar fil: Video Dream MachineAI.mp4.exe. Att köra den här filen utlöser en kedjereaktion, som börjar med att ByteDances legitima CapCut.exe startas.
Denna legitima binärfil fungerar som en rökridå för att ladda en .NET-baserad komponent med namnet CapCutLoader, som sedan hämtar och kör en Python-baserad nyttolast (srchost.exe) från en fjärrserver.
Nyttolasten: Nudelfilen och bortom
Den slutliga nyttolasten är Noodlophile Stealer, skadlig kod utrustad för att stjäla webbläsaruppgifter, kryptovalutaplånboksdata och annan känslig information. I vissa varianter används stjälaren tillsammans med en fjärråtkomsttrojan (RAT) som XWorm, vilket möjliggör kontinuerlig kontroll över offrets enhet.
Skadlig kodskapare med ett offentligt ansikte
Attribueringsförsök har spårat Noodlophiles utveckling till en person som tros vara baserad i Vietnam. Denna utvecklare, som identifierar sig själv på GitHub som en "passionerad malware-utvecklare från Vietnam", skapade sin profil den 16 mars 2025. Vietnam har framstått som en hotspot för cyberkriminell aktivitet, särskilt involverande stöldbegärande skadlig kod som riktar sig mot plattformar som Facebook.
AI som det nya betet för skadlig kod
Att utnyttja allmänhetens fascination för artificiell intelligens är inte nytt. År 2023 rapporterade Meta att de tagit bort över 1 000 skadliga webbadresser som utformats för att imitera OpenAI:s ChatGPT. Dessa länkar har använts för att distribuera minst 10 olika familjer av skadlig kod sedan mars 2023, vilket visar att AI-relaterade bedrägerier fortsätter att vara ett kraftfullt verktyg i cyberkriminellas arsenal.
