Noodlophile Stealer
Кіберзлочинці користуються зростаючим попитом на інструменти на базі штучного інтелекту, створюючи переконливі фальшиві платформи, щоб заманити користувачів до завантаження небезпечного шкідливого програмного забезпечення для крадіжки інформації під назвою Noodlophile. На відміну від традиційних фішингових шахрайств або сайтів розповсюдження зламаного програмного забезпечення, ці діячі створюють веб-сайти на тему штучного інтелекту, що виглядають легітимно, та просувають їх через вірусні кампанії в соціальних мережах та групи у Facebook.
Зміст
Соціальна інженерія через соціальні мережі
Ці фальшиві кампанії вміло поширюються на соціальних платформах, деякі публікації яких збирають понад 62 000 переглядів кожна. Сторінки видають себе за справжні сервіси зі створення контенту на основі штучного інтелекту та спрямовані на користувачів, які шукають інструменти для редагування відео та зображень. Серед відомих фальшивих профілів — «Luma Dreammachine Al», «Luma Dreammachine» та «gratistuslibros».
Занадто добре, щоб бути правдою: пастка штучного інтелекту
Щойно користувачі взаємодіють із публікаціями, їм пропонують завантажити те, що вони вважають сервісами на базі штучного інтелекту для створення відео, зображень, логотипів або веб-сайтів. Один шахрайський сайт навіть імітує CapCut AI, стверджуючи, що пропонує універсальний відеоредактор із розширеними функціями штучного інтелекту.
Початок ланцюга інфекції
Після завантаження медіафайлів користувачам пропонується завантажити згенерований штучним інтелектом вихідний файл. Однак замість отримання контенту вони несвідомо завантажують шкідливий ZIP-архів під назвою VideoDreamAI.zip. Всередині знаходиться замаскований виконуваний файл Video Dream MachineAI.mp4.exe. Запуск цього файлу запускає ланцюгову реакцію, починаючи з запуску легітимного файлу CapCut.exe від ByteDance.
Цей легітимний бінарний файл слугує димовою завісою для завантаження компонента на основі .NET під назвою CapCutLoader, який потім отримує та виконує корисне навантаження на основі Python (srchost.exe) з віддаленого сервера.
Корисне навантаження: Noodlophile і не тільки
Останнім корисним навантаженням є Noodlophile Stealer, шкідливе програмне забезпечення, оснащене для крадіжки облікових даних браузера, даних криптовалютних гаманців та іншої конфіденційної інформації. У деяких варіантах викрадач розгортається разом із трояном віддаленого доступу (RAT), таким як XWorm, що дозволяє постійно контролювати пристрій жертви.
Автор шкідливого програмного забезпечення з публічним обличчям
Спроби встановлення атрибуції простежили розробку Noodlophile до особи, яка, як вважається, мешкає у В'єтнамі. Цей розробник, який ідентифікує себе на GitHub як «пристрасний розробник шкідливого програмного забезпечення з В'єтнаму», створив свій профіль 16 березня 2025 року. В'єтнам став гарячою точкою для кіберзлочинної діяльності, зокрема, пов'язаної з викраденням шкідливого програмного забезпечення, спрямованого на такі платформи, як Facebook.
Штучний інтелект як нова приманка для шкідливого програмного забезпечення
Використання суспільного захоплення штучним інтелектом не є чимось новим. У 2023 році Meta повідомила про видалення понад 1000 шкідливих URL-адрес, розроблених для імітації ChatGPT OpenAI. Ці посилання використовувалися для розповсюдження щонайменше 10 різних сімейств шкідливих програм з березня 2023 року, що демонструє, що шахрайство на основі штучного інтелекту продовжує бути потужним інструментом в арсеналі кіберзлочинців.
