Gefälschte KI-Tools verbreiten Noodlophile-Malware an über 62.000 Nutzer über Facebook

In einer besorgniserregenden Entwicklung nutzen Cyberkriminelle die Popularität von Künstlicher Intelligenz (KI)-Tools, um eine neue Malware namens ‚Noodlophile Stealer‘ über Facebook zu verbreiten.

Die täuschende Taktik

Laut Forschern von Morphisec erstellen Bedrohungsakteure gefälschte „KI-themenbezogene“ Video-Generierungsplattformen, die über scheinbar legitime Facebook-Gruppen und virale Social-Media-Kampagnen beworben werden.

Diese Gruppen, die über 62.000 Aufrufe auf einem einzigen Beitrag verzeichnen, ziehen Nutzer an, Bilder oder Videos hochzuladen, und versprechen im Gegenzug KI-generierte Inhalte, was auf die umfangreiche Reichweite der Kampagne hinweist.

„Anstatt sich auf traditionelle Phishing- oder gehackte Software-Seiten zu verlassen, bauen sie überzeugende KI-themenbezogene Plattformen – oft beworben über legitim aussehende Facebook-Gruppen und virale Social-Media-Kampagnen“, schrieb Shmuel Uzan, Bedrohungsforscher bei Morphisec, in einem Forschungsblogbeitrag, der letzte Woche veröffentlicht wurde.

Verstehen des Noodlophile Stealers

Anstatt sofort KI-generierte Videos zu erhalten, laden Nutzer unwissentlich Malware herunter, genauer gesagt einen neu entdeckten Infostealer namens Noodlophile Stealer, der darauf ausgelegt ist, Browser-Anmeldeinformationen, Krypto-Wallets und andere sensible Informationen abzuziehen.

In einigen Fällen setzt er auch einen Remote-Access-Trojaner wie XWorm ein, der Angreifern tiefere Kontrolle über das infizierte System gewährt.

„Noodlophile Stealer stellt eine neue Ergänzung im Malware-Ökosystem dar. Bisher in öffentlichen Malware-Trackern oder Berichten nicht dokumentiert, kombiniert dieser Stealer den Diebstahl von Browser-Anmeldeinformationen, die Exfiltration von Wallets und die optionale Bereitstellung von Remote-Zugriff“, fügte Uzan hinzu.

Wie die Kampagne funktioniert

Die Noodlophile Stealer-Kampagne beginnt, wenn Nutzer auf gefälschte KI-Video-Generierungsseiten gelockt werden, die in sozialen Medien beworben werden. Nach dem Hochladen ihrer Inhalte erhalten die Nutzer ein ZIP-Archiv, das angeblich ein KI-generiertes Video enthält. In Wirklichkeit enthält das Archiv eine clever getarnte ausführbare Datei (z. B. Video Dream MachineAI.mp4.exe), die so gestaltet ist, dass sie wie eine harmlose Videodatei aussieht, was besonders irreführend für Nutzer ist, die Dateiendungen auf ihren Systemen verborgen haben.

„Die Datei Video Dream MachineAI.mp4.exe ist eine 32-Bit-C++-Anwendung, die mit einem Zertifikat signiert ist, das über Winauth erstellt wurde“, erklärt Morphisec.

„Trotz ihres irreführenden Namens (der auf ein .mp4-Video hindeutet) ist dieses Binary tatsächlich eine umfunktionierte Version von CapCut, einem legitimen Video-Bearbeitungstool (Version 445.0). Diese täuschende Benennung und das Zertifikat helfen, den Verdacht der Nutzer und einiger Sicherheitslösungen zu umgehen.“

Das Ausführen der Datei löst eine mehrstufige Infektionskette aus, die mehrere ausführbare Dateien und ein Batch-Skript (Document.docx/install.bat) umfasst. Die Malware verwendet das legitime Windows-Tool ‚certutil.exe‘, um ein passwortgeschütztes RAR-Archiv, das sich als PDF ausgibt, zu decodieren und fügt einen Registrierungsschlüssel für Persistenz hinzu.

Anschließend wird srchost.exe ausgeführt, das ein obfuskiertes Python-Skript (randomuser2025.txt) herunterlädt und ausführt, das den Noodlophile Stealer im Speicher startet. Je nachdem, ob Avast vorhanden ist, verwendet die Malware entweder eine PE-Hollowing-Funktion, die RegAsm.exe angreift, oder eine lokale Shellcode-Loader-Funktion für die direkte Ausführung.

Sobald sie aktiv ist, stiehlt sie browsergespeicherte Daten, Sitzungscookies, Anmeldeinformationen, Tokens und Krypto-Wallet-Dateien und exfiltriert alles über einen Telegram-Bot.

Kommunikation und Verbreitung

Die Malware verwendet einen Telegram-Bot, um gestohlene Daten leise an ihre Betreiber zurückzusenden. Ermittlungen zeigen, dass Noodlophile als Teil von Malware-as-a-Service (MaaS)-Paketen in Dark-Web-Foren verkauft wird, oft zusammen mit „Get Cookie + Pass“-Diensten, und mit vietnamesischsprachigen Bedrohungsakteuren in Verbindung steht.

Schutzmaßnahmen

Um sich gegen solche Bedrohungen zu schützen, wird den Nutzern geraten, Links aus sozialen Medienanzeigen oder Nachrichten zu vermeiden, die Multi-Faktor-Authentifizierung (MFA) zu aktivieren, um unbefugten Zugriff auf Konten zu verhindern, sicherzustellen, dass Software-Downloads über offizielle Quellen und vertrauenswürdige Kanäle erfolgen.

Seien Sie vorsichtig bei unaufgeforderten Angeboten wie zeitlich begrenzten Angeboten oder Vorschauen von unbekannten Quellen und stellen Sie sicher, dass die Software regelmäßig aktualisiert wird, um Sicherheitsanfälligkeiten zu beheben, die von Malware ausgenutzt werden könnten.