Noodlophile Stealer
Pinapakinabangan ng mga cybercriminal ang lumalaking pangangailangan para sa mga tool na pinapagana ng AI sa pamamagitan ng paglikha ng mga nakakumbinsi at pekeng platform para akitin ang mga user na mag-download ng mapanganib na malware na nagnanakaw ng impormasyon na pinangalanang Nodlophile. Hindi tulad ng mga tradisyunal na phishing scam o mga basag na site ng pamamahagi ng software, ang mga aktor na ito ay gumagawa ng mga lehitimong mukhang AI-themed na website at nagpo-promote ng mga ito sa pamamagitan ng viral na mga social media campaign at mga grupo sa Facebook.
Talaan ng mga Nilalaman
Social Engineering sa pamamagitan ng Social Media
Ang mga pekeng kampanyang ito ay matalinong ipinamamahagi sa mga social platform, na may ilang mga post na umaakit ng higit sa 62,000 view bawat isa. Ang mga page ay nagpapanggap bilang tunay na mga serbisyo sa paglikha ng nilalaman ng AI at nilalayon sa mga user na naghahanap ng mga tool para sa pag-edit ng video at larawan. Kabilang sa mga kilalang pekeng profile ang 'Luma Dreammachine Al,' 'Luma Dreammachine,' at 'gratistuslibros.'
Too Good to Be True: Ang AI Trap
Kapag nakipag-ugnayan na ang mga user sa mga post, ididirekta sila na i-download ang pinaniniwalaan nilang mga serbisyong pinahusay ng AI para sa paggawa ng mga video, larawan, logo, o website. Ginagaya pa nga ng isang mapanlinlang na site ang CapCut AI, na sinasabing nag-aalok ng all-in-one na video editor na may mga advanced na feature ng AI.
Nagsisimula ang Infection Chain
Pagkatapos i-upload ang kanilang mga media prompt, sinenyasan ang mga user na i-download ang kanilang output na binuo ng AI. Gayunpaman, sa halip na makatanggap ng nilalaman, hindi nila namamalayang nagda-download sila ng nakakahamak na ZIP archive na pinamagatang VideoDreamAI.zip. Sa loob ay isang disguised executable: Video Dream MachineAI.mp4.exe. Ang pagpapatakbo ng file na ito ay nagti-trigger ng chain reaction, simula sa paglulunsad ng lehitimong CapCut.exe ng ByteDance.
Ang lehitimong binary na ito ay nagsisilbing smokescreen para mag-load ng .NET-based na component na pinangalanang CapCutLoader, na pagkatapos ay kumukuha at nagpapatupad ng Python-based payload (srchost.exe) mula sa isang remote server.
Ang Payload: Nodlophile at Higit Pa
Ang panghuling payload ay ang Nodlophile Stealer, malware na nilagyan ng mga kredensyal ng browser, data ng cryptocurrency wallet, at iba pang sensitibong impormasyon. Sa ilang mga variant, ang magnanakaw ay naka-deploy sa tabi ng isang remote access trojan (RAT) gaya ng XWorm, na nagbibigay-daan sa patuloy na kontrol sa device ng biktima.
May-akda ng Malware na may Pampublikong Mukha
Natunton ng mga pagsisikap sa pagpapatungkol ang pag-unlad ng Nodlophile sa isang indibidwal na pinaniniwalaang nakabase sa Vietnam. Ang developer na ito, na nagpakilala sa GitHub bilang isang 'masigasig na Malware Developer mula sa Vietnam,' ay gumawa ng kanilang profile noong Marso 16, 2025. Ang Vietnam ay lumitaw bilang isang hotspot para sa aktibidad ng cybercriminal, partikular na kinasasangkutan ng magnanakaw na malware na nagta-target sa mga platform tulad ng Facebook.
AI bilang Bagong Malware Bait
Ang pagsasamantala sa pampublikong pagkahumaling sa artificial intelligence ay hindi na bago. Noong 2023, iniulat ng Meta na nag-aalis ng mahigit 1,000 malisyosong URL na idinisenyo upang gayahin ang ChatGPT ng OpenAI. Ginamit ang mga link na ito upang ipamahagi ang hindi bababa sa 10 iba't ibang pamilya ng malware mula noong Marso 2023, na nagpapakita na ang mga scam na may temang AI ay patuloy na isang mahusay na tool sa cybercriminal arsenal.
