Noodlophile Stealer
Siber suçlular, kullanıcıları Noodlophile adlı tehlikeli bir bilgi çalma kötü amaçlı yazılımını indirmeye ikna etmek için ikna edici, sahte platformlar oluşturarak yapay zeka destekli araçlara olan artan talebi değerlendiriyor. Geleneksel kimlik avı dolandırıcılıkları veya kırılmış yazılım dağıtım sitelerinin aksine, bu aktörler meşru görünümlü yapay zeka temalı web siteleri oluşturuyor ve bunları viral sosyal medya kampanyaları ve Facebook grupları aracılığıyla tanıtıyor.
İçindekiler
Sosyal Medya Aracılığıyla Sosyal Mühendislik
Bu sahte kampanyalar sosyal platformlarda akıllıca dağıtılıyor ve bazı gönderiler her biri 62.000'den fazla görüntüleme alıyor. Sayfalar gerçek AI içerik oluşturma hizmetlerini taklit ediyor ve video ve görüntü düzenleme araçları arayan kullanıcıları hedefliyor. Dikkat çeken sahte profiller arasında 'Luma Dreammachine Al,' 'Luma Dreammachine,' ve 'gratistuslibros' yer alıyor.
Gerçek Olmak İçin Fazla İyi: Yapay Zeka Tuzağı
Kullanıcılar gönderilerle etkileşime girdiklerinde, video, resim, logo veya web sitesi oluşturmak için AI destekli hizmetler olduğuna inandıkları şeyleri indirmeye yönlendirilirler. Sahte bir site, gelişmiş AI özelliklerine sahip hepsi bir arada bir video düzenleyici sunduğunu iddia ederek CapCut AI'yı bile taklit eder.
Enfeksiyon Zinciri Başlıyor
Medya istemlerini yükledikten sonra, kullanıcılardan AI tarafından oluşturulan çıktılarını indirmeleri istenir. Ancak, içerik almak yerine, farkında olmadan VideoDreamAI.zip başlıklı kötü amaçlı bir ZIP arşivi indirirler. İçinde gizlenmiş bir yürütülebilir dosya vardır: Video Dream MachineAI.mp4.exe. Bu dosyayı çalıştırmak, ByteDance'in meşru CapCut.exe'sinin başlatılmasıyla başlayan bir zincirleme tepkiyi tetikler.
Bu meşru ikili dosya, CapCutLoader adlı .NET tabanlı bir bileşeni yüklemek için bir sis perdesi görevi görür ve daha sonra uzak bir sunucudan Python tabanlı bir yükü (srchost.exe) getirir ve yürütür.
Yük: Noodlefili ve Ötesi
Son yük, tarayıcı kimlik bilgilerini, kripto para cüzdanı verilerini ve diğer hassas bilgileri sızdırmak için donatılmış kötü amaçlı yazılım olan Noodlophile Stealer'dır. Bazı varyantlarda, hırsız, XWorm gibi bir uzaktan erişim trojanıyla (RAT) birlikte dağıtılır ve kurbanın cihazı üzerinde kalıcı kontrol sağlar.
Kamuoyuna Tanınan Kötü Amaçlı Yazılım Yazarı
Atıf çabaları Noodlophile'ın gelişimini Vietnam'da yaşadığı düşünülen bir bireye kadar takip etti. GitHub'da kendisini 'Vietnam'dan tutkulu bir Kötü Amaçlı Yazılım Geliştiricisi' olarak tanımlayan bu geliştirici, profilini 16 Mart 2025'te oluşturdu. Vietnam, özellikle Facebook gibi platformları hedef alan hırsız kötü amaçlı yazılımları içeren siber suç faaliyetlerinin merkezi haline geldi.
Yapay Zeka Yeni Kötü Amaçlı Yazılım Yemi Olarak
Yapay zekaya olan kamu hayranlığını istismar etmek yeni bir şey değil. Meta, 2023'te OpenAI'nin ChatGPT'sini taklit etmek için tasarlanmış 1.000'den fazla kötü amaçlı URL'yi kaldırdığını bildirdi. Bu bağlantılar Mart 2023'ten bu yana en az 10 farklı kötü amaçlı yazılım ailesini dağıtmak için kullanıldı ve bu da AI temalı dolandırıcılıkların siber suçluların cephaneliğinde güçlü bir araç olmaya devam ettiğini gösteriyor.
