Noodlophile Stealer

网络犯罪分子正利用人们对人工智能工具日益增长的需求，创建令人信服的虚假平台，诱骗用户下载名为 Noodlophile 的危险信息窃取恶意软件。与传统的网络钓鱼诈骗或破解软件分发网站不同，这些攻击者会制作看似合法的人工智能主题网站，并通过病毒式社交媒体活动和 Facebook 群组进行推广。

通过社交媒体进行社会工程

这些虚假活动在社交平台上精心传播，一些帖子的阅读量超过6.2万次。这些页面冒充真实的人工智能内容创作服务，旨在吸引寻求视频和图像编辑工具的用户。值得注意的虚假账户包括“Luma Dreammachine Al”、“Luma Dreammachine”和“gratistuslibros”。

好得难以置信：人工智能陷阱

一旦用户点击这些帖子，他们就会被引导下载他们以为是AI增强服务的产品，用于创建视频、图片、徽标或网站。一个欺诈网站甚至模仿CapCut AI，声称提供具有高级AI功能的一体化视频编辑器。

感染链开始

上传媒体提示后，用户会被提示下载AI生成的输出。然而，用户并没有收到内容，而是在不知不觉中下载了一个名为VideoDreamAI.zip的恶意ZIP压缩包。其中包含一个伪装的可执行文件：VideoDreamMachineAI.mp4.exe。运行此文件会触发连锁反应，首先启动字节跳动的合法CapCut.exe。

这个合法的二进制文件作为烟幕来加载一个名为 CapCutLoader 的基于 .NET 的组件，然后从远程服务器获取并执行基于 Python 的有效负载（srchost.exe）。

有效载荷：Noodlophile 及其他

最后一个有效载荷是Noodlophile Stealer，该恶意软件旨在窃取浏览器凭证、加密货币钱包数据和其他敏感信息。在某些变种中，该窃取程序会与XWorm等远程访问木马（RAT）一起部署，从而实现对受害者设备的持久控制。

公开露面的恶意软件作者

追踪工作已将 Noodlophile 的开发追溯到一名据信居住在越南的个人。该开发者在 GitHub 上自称是“来自越南的热情恶意软件开发者”，并于 2025 年 3 月 16 日创建了自己的个人资料。越南已成为网络犯罪活动的热点地区，尤其涉及针对 Facebook 等平台的窃取恶意软件。

人工智能成为新的恶意软件诱饵

利用公众对人工智能的热情进行攻击并非新鲜事。2023年，Meta报告称，其删除了超过1000个旨在冒充OpenAI ChatGPT的恶意URL。自2023年3月以来，这些链接已被用来传播至少10个不同的恶意软件家族，这表明以人工智能为主题的诈骗仍然是网络犯罪分子手中的有力工具。