Strumenti AI Falsi Diffondono Malware Noodlophile A Oltre 62K Tramite Facebook

In uno sviluppo preoccupante, i criminali informatici stanno sfruttando la popolarità degli strumenti di intelligenza artificiale (AI) per distribuire un nuovo malware chiamato ‘Noodlophile Stealer’ tramite Facebook.

La Tattica Ingannatrice

Secondo i ricercatori di Morphisec, gli attori della minaccia creano falsi “siti di generazione video a tema AI”, promossi attraverso gruppi Facebook apparentemente legittimi e campagne virali sui social media.

Questi gruppi, con oltre 62.000 visualizzazioni su un singolo post, attirano gli utenti a caricare immagini o video, promettendo contenuti generati dall’AI in cambio, indicando l’ampia portata della campagna.

“Anziché fare affidamento su phishing tradizionale o siti di software piratato, costruiscono piattaforme convincenti a tema AI – spesso pubblicizzate tramite gruppi Facebook dall’aspetto legittimo e campagne virali sui social media,” ha scritto Shmuel Uzan, Ricercatore di Minacce di Morphisec, in un post sul blog di ricerca pubblicato la settimana scorsa.

Comprendere Noodlophile Stealer

Invece di ricevere video generati dall’AI istantaneamente, gli utenti scaricano inconsapevolmente malware, specificamente un infostealer recentemente scoperto chiamato Noodlophile Stealer, progettato per rubare credenziali del browser, portafogli crypto e altre informazioni sensibili.

In alcuni casi, distribuisce anche un trojan di accesso remoto come XWorm, concedendo agli attaccanti un controllo più profondo sul sistema infetto.

“Noodlophile Stealer rappresenta una nuova aggiunta all’ecosistema malware. Precedentemente non documentato nei tracker di malware pubblici o nei rapporti, questo stealer combina il furto di credenziali del browser, l’exfiltrazione di portafogli e il dispiegamento opzionale di accesso remoto,” ha aggiunto Uzan.

Come Funziona La Campagna

La campagna Noodlophile Stealer inizia quando gli utenti vengono attratti a falsi siti di generazione video AI promossi sui social media. Dopo aver caricato il loro contenuto, gli utenti ricevono un archivio ZIP che afferma di contenere un video generato dall’AI. In realtà, l’archivio contiene un eseguibile abilmente camuffato (ad es., Video Dream MachineAI.mp4.exe) progettato per assomigliare a un file video innocuo, particolarmente fuorviante per gli utenti che hanno le estensioni dei file nascoste sui loro sistemi.

“Il file Video Dream MachineAI.mp4.exe è un’applicazione C++ a 32 bit firmata utilizzando un certificato creato tramite Winauth,” spiega Morphisec.

“Nonostante il suo nome fuorviante (che suggerisce un video .mp4), questo binario è in realtà una versione riutilizzata di CapCut, uno strumento di editing video legittimo (versione 445.0). Questa denominazione ingannevole e il certificato aiutano a eludere i sospetti degli utenti e alcune soluzioni di sicurezza.”

Eseguire il file attiva una catena di infezione multi-stadio che coinvolge diversi eseguibili e uno script batch (Document.docx/install.bat). Il malware utilizza lo strumento legittimo di Windows ‘certutil.exe’ per decodificare un archivio RAR protetto da password codificato in base64 che si spaccia per un PDF e aggiunge una chiave di registro per la persistenza.

Successivamente, esegue srchost.exe, che scarica ed esegue uno script Python offuscato (randomuser2025.txt) che lancia il Noodlophile Stealer in memoria. A seconda della presenza di Avast, il malware utilizza una funzione di hollowing PE che prende di mira RegAsm.exe o una funzione di caricamento shellcode locale per l’esecuzione diretta.

Una volta attivo, ruba dati memorizzati nel browser, cookie di sessione, credenziali, token e file di portafogli crypto, esfiltrando tutto tramite un bot di Telegram.

Comunicazione E Distribuzione

Il malware utilizza un bot di Telegram per inviare silenziosamente i dati rubati ai suoi operatori. Le indagini rivelano che Noodlophile viene venduto come parte di pacchetti malware-as-a-service (MaaS) su forum del dark web, spesso insieme a servizi “Get Cookie + Pass”, ed è collegato ad attori della minaccia di lingua vietnamita.

Misure Protettive

Per proteggersi da tali minacce, si consiglia agli utenti di evitare di cliccare su link provenienti da annunci o messaggi sui social media, abilitare l’autenticazione a più fattori (MFA) per prevenire accessi non autorizzati agli account, assicurarsi che i download di software siano effettuati tramite fonti ufficiali e canali fidati.

Fai attenzione a offerte non richieste come affari a tempo limitato o anteprime da fonti sconosciute e assicurati che il software sia regolarmente aggiornato per correggere le vulnerabilità di sicurezza che il malware potrebbe sfruttare.