Herramientas de IA falsas propagan malware Noodlophile a más de 62K a través de Facebook

En un desarrollo preocupante, los ciberdelincuentes están aprovechando la popularidad de las herramientas de inteligencia artificial (IA) para distribuir un nuevo malware llamado ‘Noodlophile Stealer’ a través de Facebook.

La táctica engañosa

Según investigadores de Morphisec, los actores de amenazas crean plataformas de generación de video “temáticas de IA” falsas, promovidas a través de grupos de Facebook aparentemente legítimos y campañas virales en redes sociales.

Estos grupos, que cuentan con más de 62,000 vistas en una sola publicación, atraen a los usuarios a subir imágenes o videos, prometiendo contenido generado por IA a cambio, lo que indica el amplio alcance de la campaña.

“En lugar de depender de phishing tradicional o sitios de software crackeado, construyen plataformas convincentes con temática de IA, a menudo anunciadas a través de grupos de Facebook que parecen legítimos y campañas virales en redes sociales”, escribió Shmuel Uzan, investigador de amenazas de Morphisec, en una publicación de blog de investigación publicada la semana pasada.

Entendiendo Noodlophile Stealer

En lugar de recibir videos generados por IA al instante, los usuarios descargan sin saberlo malware, específicamente, un infostealer recién descubierto llamado Noodlophile Stealer, diseñado para robar credenciales del navegador, billeteras de criptomonedas y otra información sensible.

En algunos casos, también despliega un troyano de acceso remoto como XWorm, otorgando a los atacantes un control más profundo sobre el sistema infectado.

“Noodlophile Stealer representa una nueva adición al ecosistema de malware. Anteriormente no documentado en rastreadores de malware públicos o informes, este stealer combina el robo de credenciales del navegador, la exfiltración de billeteras y el despliegue opcional de acceso remoto”, agregó Uzan.

Cómo funciona la campaña

La campaña de Noodlophile Stealer comienza cuando los usuarios son atraídos a sitios falsos de generación de videos de IA promovidos en redes sociales. Después de subir su contenido, los usuarios reciben un archivo ZIP que afirma contener un video generado por IA. En realidad, el archivo contiene un ejecutable disfrazado (por ejemplo, Video Dream MachineAI.mp4.exe) diseñado para parecer un archivo de video inofensivo, particularmente engañoso para los usuarios que tienen las extensiones de archivo ocultas en sus sistemas.

“El archivo Video Dream MachineAI.mp4.exe es una aplicación de 32 bits en C++ firmada utilizando un certificado creado a través de Winauth”, explica Morphisec.

“A pesar de su nombre engañoso (que sugiere un video .mp4), este binario es en realidad una versión reutilizada de CapCut, una herramienta de edición de video legítima (versión 445.0). Esta denominación engañosa y el certificado ayudan a evadir la sospecha del usuario y algunas soluciones de seguridad.”

Ejecutar el archivo desencadena una cadena de infección de múltiples etapas que involucra varios ejecutables y un script por lotes (Document.docx/install.bat). El malware utiliza la herramienta legítima de Windows ‘certutil.exe’ para decodificar un archivo RAR protegido por contraseña codificado en base64 que se hace pasar por un PDF y agrega una clave de registro para persistencia.

A continuación, ejecuta srchost.exe, que descarga y ejecuta un script de Python ofuscado (randomuser2025.txt) que lanza el Noodlophile Stealer en memoria. Dependiendo de si Avast está presente, el malware utiliza una función de vaciado de PE que apunta a RegAsm.exe o una función de cargador de shellcode local para ejecución directa.

Una vez activo, roba datos almacenados en el navegador, cookies de sesión, credenciales, tokens y archivos de billetera de criptomonedas, exfiltrando todo a través de un bot de Telegram.

Comunicación y distribución

El malware utiliza un bot de Telegram para enviar silenciosamente los datos robados de vuelta a sus operadores. Las investigaciones revelan que Noodlophile se está vendiendo como parte de paquetes de malware como servicio (MaaS) en foros de la dark web, a menudo junto con servicios de “Obtener Cookie + Pass”, y está vinculado a actores de amenazas de habla vietnamita.

Medidas de protección

Para protegerse contra tales amenazas, se aconseja a los usuarios evitar hacer clic en enlaces de anuncios o mensajes en redes sociales, habilitar la autenticación de múltiples factores (MFA) para prevenir el acceso no autorizado a las cuentas, asegurarse de que las descargas de software se realicen a través de fuentes oficiales y canales de confianza.

Tenga cuidado con ofertas no solicitadas como ofertas por tiempo limitado o vistas previas de fuentes desconocidas, y asegúrese de que el software se actualice regularmente para corregir vulnerabilidades de seguridad que el malware podría explotar.