Noodlophile Stealer
Tội phạm mạng đang tận dụng nhu cầu ngày càng tăng đối với các công cụ hỗ trợ AI bằng cách tạo ra các nền tảng giả mạo, thuyết phục để dụ người dùng tải xuống phần mềm độc hại đánh cắp thông tin nguy hiểm có tên là Noodlophile. Không giống như các vụ lừa đảo lừa đảo truyền thống hoặc các trang web phân phối phần mềm bị bẻ khóa, những kẻ này tạo ra các trang web có chủ đề AI trông hợp pháp và quảng bá chúng thông qua các chiến dịch truyền thông xã hội lan truyền và các nhóm Facebook.
Mục lục
Kỹ thuật xã hội thông qua phương tiện truyền thông xã hội
Những chiến dịch giả mạo này được phân phối khéo léo trên các nền tảng xã hội, với một số bài đăng thu hút hơn 62.000 lượt xem mỗi bài. Các trang này mạo danh các dịch vụ tạo nội dung AI thực sự và nhắm vào người dùng đang tìm kiếm các công cụ để chỉnh sửa video và hình ảnh. Các hồ sơ giả mạo đáng chú ý bao gồm 'Luma Dreammachine Al,' 'Luma Dreammachine,' và 'gratistuslibros.'
Quá tốt để có thể là sự thật: Cái bẫy AI
Khi người dùng tương tác với bài đăng, họ được hướng dẫn tải xuống những gì họ tin là dịch vụ được tăng cường AI để tạo video, hình ảnh, logo hoặc trang web. Một trang web lừa đảo thậm chí còn bắt chước CapCut AI, tuyên bố cung cấp trình chỉnh sửa video tất cả trong một với các tính năng AI tiên tiến.
Chuỗi lây nhiễm bắt đầu
Sau khi tải lên lời nhắc phương tiện của họ, người dùng được nhắc tải xuống đầu ra do AI tạo ra. Tuy nhiên, thay vì nhận được nội dung, họ vô tình tải xuống một tệp ZIP độc hại có tên là VideoDreamAI.zip. Bên trong là một tệp thực thi được ngụy trang: Video Dream MachineAI.mp4.exe. Chạy tệp này sẽ kích hoạt phản ứng dây chuyền, bắt đầu bằng việc khởi chạy CapCut.exe hợp pháp của ByteDance.
Tệp nhị phân hợp pháp này đóng vai trò như một bức bình phong để tải một thành phần dựa trên .NET có tên là CapCutLoader, sau đó sẽ truy xuất và thực thi một tải trọng dựa trên Python (srchost.exe) từ một máy chủ từ xa.
Payload: Người yêu thích mì và hơn thế nữa
Tải trọng cuối cùng là Noodlophile Stealer, phần mềm độc hại được trang bị để đánh cắp thông tin đăng nhập trình duyệt, dữ liệu ví tiền điện tử và các thông tin nhạy cảm khác. Trong một số biến thể, kẻ đánh cắp được triển khai cùng với trojan truy cập từ xa (RAT) như XWorm, cho phép kiểm soát liên tục thiết bị của nạn nhân.
Tác giả phần mềm độc hại có khuôn mặt công khai
Các nỗ lực xác định nguồn gốc đã lần ra sự phát triển của Noodlophile đến từ một cá nhân được cho là có trụ sở tại Việt Nam. Nhà phát triển này, người tự nhận mình trên GitHub là 'Nhà phát triển phần mềm độc hại đam mê đến từ Việt Nam', đã tạo hồ sơ của họ vào ngày 16 tháng 3 năm 2025. Việt Nam đã nổi lên như một điểm nóng cho hoạt động tội phạm mạng, đặc biệt là liên quan đến phần mềm độc hại đánh cắp nhắm vào các nền tảng như Facebook.
AI là mồi nhử phần mềm độc hại mới
Việc khai thác sự say mê của công chúng với trí tuệ nhân tạo không phải là điều mới mẻ. Vào năm 2023, Meta đã báo cáo việc xóa hơn 1.000 URL độc hại được thiết kế để mạo danh ChatGPT của OpenAI. Các liên kết này đã được sử dụng để phân phối ít nhất 10 họ phần mềm độc hại khác nhau kể từ tháng 3 năm 2023, chứng minh rằng các vụ lừa đảo theo chủ đề AI vẫn tiếp tục là một công cụ mạnh mẽ trong kho vũ khí của tội phạm mạng.
