Noodlophile Stealer

อาชญากรไซเบอร์ใช้ประโยชน์จากความต้องการเครื่องมือที่ขับเคลื่อนด้วย AI ที่เพิ่มมากขึ้นโดยสร้างแพลตฟอร์มปลอมที่น่าเชื่อถือเพื่อล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์ที่ขโมยข้อมูลอันตรายที่มีชื่อว่า Noodlophile ซึ่งแตกต่างจากการหลอกลวงแบบฟิชชิ่งทั่วไปหรือเว็บไซต์แจกจ่ายซอฟต์แวร์ที่ถอดรหัสได้ ผู้ก่ออาชญากรรมเหล่านี้สร้างเว็บไซต์ที่ดูเหมือนถูกต้องตามกฎหมายเกี่ยวกับ AI และโปรโมตผ่านแคมเปญไวรัลบนโซเชียลมีเดียและกลุ่ม Facebook

วิศวกรรมสังคมผ่านโซเชียลมีเดีย

แคมเปญปลอมเหล่านี้กระจายอย่างชาญฉลาดบนแพลตฟอร์มโซเชียล โดยบางโพสต์มีผู้เข้าชมมากกว่า 62,000 ครั้ง เพจเหล่านี้แอบอ้างเป็นบริการสร้างเนื้อหาด้วย AI จริง และมุ่งเป้าไปที่ผู้ใช้ที่กำลังมองหาเครื่องมือสำหรับตัดต่อวิดีโอและรูปภาพ โปรไฟล์ปลอมที่เป็นที่รู้จัก ได้แก่ 'Luma Dreammachine Al,' 'Luma Dreammachine' และ 'gratistuslibros'

ดีเกินกว่าที่จะเป็นจริง: กับดัก AI

เมื่อผู้ใช้มีส่วนร่วมกับโพสต์แล้ว พวกเขาจะถูกนำทางให้ดาวน์โหลดสิ่งที่พวกเขาเชื่อว่าเป็นบริการที่ได้รับการปรับปรุงด้วย AI สำหรับการสร้างวิดีโอ รูปภาพ โลโก้ หรือเว็บไซต์ เว็บไซต์หลอกลวงแห่งหนึ่งยังเลียนแบบ CapCut AI โดยอ้างว่าเสนอโปรแกรมตัดต่อวิดีโอแบบครบวงจรพร้อมฟีเจอร์ AI ขั้นสูง

ห่วงโซ่การติดเชื้อเริ่มต้น

หลังจากอัปโหลดไฟล์สื่อแล้ว ผู้ใช้จะได้รับแจ้งให้ดาวน์โหลดเอาต์พุตที่สร้างโดย AI อย่างไรก็ตาม แทนที่จะได้รับเนื้อหา ผู้ใช้กลับดาวน์โหลดไฟล์ ZIP ที่เป็นอันตรายโดยไม่รู้ตัวซึ่งมีชื่อว่า VideoDreamAI.zip ภายในไฟล์ปฏิบัติการที่ปลอมตัวมาคือ Video Dream MachineAI.mp4.exe การเรียกใช้ไฟล์นี้จะกระตุ้นให้เกิดปฏิกิริยาลูกโซ่ โดยเริ่มจากการเปิดตัว CapCut.exe ที่ถูกต้องตามกฎหมายของ ByteDance

ไฟล์ไบนารีที่ถูกต้องตามกฎหมายนี้ทำหน้าที่เป็นฉากบังตาเพื่อโหลดส่วนประกอบที่ใช้ .NET ชื่อ CapCutLoader ซึ่งจะดึงและดำเนินการเพย์โหลดที่ใช้ Python (srchost.exe) จากเซิร์ฟเวอร์ระยะไกล

เพย์โหลด: นักกินบะหมี่และอีกมากมาย

เพย์โหลดสุดท้ายคือ Noodlophile Stealer ซึ่งเป็นมัลแวร์ที่พร้อมจะขโมยข้อมูลประจำตัวของเบราว์เซอร์ ข้อมูลกระเป๋าเงินสกุลเงินดิจิทัล และข้อมูลสำคัญอื่นๆ ในบางเวอร์ชัน ตัวขโมยจะถูกนำไปใช้ร่วมกับโทรจันการเข้าถึงระยะไกล (RAT) เช่น XWorm ซึ่งช่วยให้สามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างต่อเนื่อง

ผู้เขียนมัลแวร์ที่มีใบหน้าสาธารณะ

ความพยายามในการระบุแหล่งที่มาได้ติดตามการพัฒนาของ Noodlophile ไปสู่บุคคลที่เชื่อว่ามีฐานอยู่ในเวียดนาม นักพัฒนารายนี้ซึ่งระบุตัวเองบน GitHub ว่าเป็น "นักพัฒนาซอฟต์แวร์มัลแวร์ที่หลงใหลจากเวียดนาม" ได้สร้างโปรไฟล์ของตนเองเมื่อวันที่ 16 มีนาคม 2025 เวียดนามได้กลายเป็นจุดศูนย์กลางของกิจกรรมทางอาชญากรรมทางไซเบอร์ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับมัลแวร์ที่ขโมยข้อมูลซึ่งกำหนดเป้าหมายแพลตฟอร์มเช่น Facebook

AI เป็นเหยื่อล่อมัลแวร์รูปแบบใหม่

การใช้ประโยชน์จากความสนใจของประชาชนที่มีต่อปัญญาประดิษฐ์ไม่ใช่เรื่องใหม่ ในปี 2023 Meta รายงานว่าได้ลบ URL ที่เป็นอันตรายกว่า 1,000 รายการซึ่งออกแบบมาเพื่อเลียนแบบ ChatGPT ของ OpenAI ลิงก์เหล่านี้ถูกใช้เพื่อเผยแพร่มัลแวร์อย่างน้อย 10 กลุ่มตั้งแต่เดือนมีนาคม 2023 ซึ่งแสดงให้เห็นว่าการหลอกลวงโดยใช้ AI ยังคงเป็นเครื่องมือที่มีประสิทธิภาพในคลังอาวุธของอาชญากรไซเบอร์