Des outils d'IA faux propagent le malware Noodlophile à plus de 62K via Facebook

Dans un développement préoccupant, les cybercriminels exploitent la popularité des outils d’intelligence artificielle (IA) pour distribuer un nouveau malware appelé ‘Noodlophile Stealer’ via Facebook.

La Tactique Trompeuse

Selon des chercheurs de Morphisec, les acteurs de la menace créent de fausses plateformes de génération de vidéos « thématiques IA », promues à travers des groupes Facebook apparemment légitimes et des campagnes virales sur les réseaux sociaux.

Ces groupes, affichant plus de 62 000 vues sur un seul post, attirent les utilisateurs à télécharger des images ou des vidéos, promettant un contenu généré par IA en retour, indiquant l’ampleur de la campagne.

« Au lieu de s’appuyer sur le phishing traditionnel ou les sites de logiciels piratés, ils construisent des plateformes thématiques IA convaincantes – souvent annoncées via des groupes Facebook ayant l’air légitimes et des campagnes virales sur les réseaux sociaux », a écrit Shmuel Uzan, chercheur sur les menaces chez Morphisec, dans un article de blog de recherche publié la semaine dernière.

Comprendre Noodlophile Stealer

Au lieu de recevoir des vidéos générées par IA instantanément, les utilisateurs téléchargent sans le savoir un malware, spécifiquement un infostealer nouvellement découvert appelé Noodlophile Stealer, conçu pour siphonner les identifiants de navigateur, les portefeuilles crypto et d’autres informations sensibles.

Dans certains cas, il déploie également un cheval de Troie d’accès à distance comme XWorm, accordant aux attaquants un contrôle plus profond sur le système infecté.

« Noodlophile Stealer représente un nouvel ajout à l’écosystème des malwares. Précédemment non documenté dans les trackers de malwares publics ou les rapports, ce stealer combine le vol d’identifiants de navigateur, l’exfiltration de portefeuilles et le déploiement d’accès à distance optionnel », a ajouté Uzan.

Comment La Campagne Fonctionne

La campagne Noodlophile Stealer commence lorsque les utilisateurs sont attirés vers de faux sites de génération de vidéos IA promus sur les réseaux sociaux. Après avoir téléchargé leur contenu, les utilisateurs reçoivent une archive ZIP prétendant contenir une vidéo générée par IA. En réalité, l’archive contient un exécutable habilement déguisé (par exemple, Video Dream MachineAI.mp4.exe) conçu pour ressembler à un fichier vidéo inoffensif, particulièrement trompeur pour les utilisateurs qui ont les extensions de fichiers cachées sur leurs systèmes.

« Le fichier Video Dream MachineAI.mp4.exe est une application C++ 32 bits signée à l’aide d’un certificat créé via Winauth », explique Morphisec.

« Malgré son nom trompeur (suggérant une vidéo .mp4), ce binaire est en réalité une version réutilisée de CapCut, un outil de montage vidéo légitime (version 445.0). Ce nom trompeur et ce certificat l’aident à échapper aux soupçons des utilisateurs et à certaines solutions de sécurité. »

Exécuter le fichier déclenche une chaîne d’infection multi-étapes impliquant plusieurs exécutables et un script batch (Document.docx/install.bat). Le malware utilise l’outil Windows légitime ‘certutil.exe’ pour décoder une archive RAR protégée par mot de passe encodée en base64 se faisant passer pour un PDF et ajoute une clé de registre pour la persistance.

Ensuite, il exécute srchost.exe, qui télécharge et exécute un script Python obfusqué (randomuser2025.txt) qui lance le Noodlophile Stealer en mémoire. Selon la présence d’Avast, le malware utilise soit une fonction de hollowing PE ciblant RegAsm.exe, soit une fonction de chargeur de shellcode local pour une exécution directe.

Une fois actif, il vole les données stockées dans le navigateur, les cookies de session, les identifiants, les jetons et les fichiers de portefeuille crypto, exfiltrant tout via un bot Telegram.

Communication Et Distribution

Le malware utilise un bot Telegram pour envoyer discrètement les données volées à ses opérateurs. Les enquêtes révèlent que Noodlophile est vendu dans le cadre de packages de malware-as-a-service (MaaS) sur des forums du dark web, souvent aux côtés de services « Get Cookie + Pass », et est lié à des acteurs de menace parlant vietnamien.

Mesures Protectrices

Pour se protéger contre de telles menaces, il est conseillé aux utilisateurs d’éviter de cliquer sur des liens provenant d’annonces ou de messages sur les réseaux sociaux, d’activer l’authentification multi-facteurs (MFA) pour prévenir l’accès non autorisé aux comptes, de s’assurer que les téléchargements de logiciels se font via des sources officielles et des canaux de confiance.

Soyez prudent face aux offres non sollicitées comme les offres à durée limitée ou les aperçus provenant de sources inconnues, et assurez-vous que le logiciel est régulièrement mis à jour pour corriger les vulnérabilités de sécurité que le malware pourrait exploiter.