偽のAIツールがFacebookを通じて62K以上にNoodlophileマルウェアを拡散

懸念される展開として、サイバー犯罪者が人工知能（AI）ツールの人気を利用して、Facebookを通じて「Noodlophile Stealer」と呼ばれる新しいマルウェアを配布しています。

欺瞞的な戦術

Morphisecの研究者によると、脅威アクターは偽の「AIテーマ」の動画生成プラットフォームを作成し、見かけ上正当なFacebookグループやバイラルなソーシャルメディアキャンペーンを通じて宣伝しています。

これらのグループは、単一の投稿で62,000以上のビューを誇り、ユーザーを画像や動画をアップロードするように誘導し、AI生成コンテンツを約束しており、キャンペーンの広範なリーチを示しています。

「従来のフィッシングやクラックされたソフトウェアサイトに頼るのではなく、彼らは説得力のあるAIテーマのプラットフォームを構築します。これらはしばしば見かけ上正当なFacebookグループやバイラルなソーシャルメディアキャンペーンを通じて宣伝されます」と、Morphisecの脅威研究者Shmuel Uzanは先週公開された研究ブログ投稿で書いています。

Noodlophile Stealerの理解

ユーザーは即座にAI生成の動画を受け取る代わりに、知らず知らずのうちにマルウェア、具体的にはブラウザの認証情報、暗号通貨ウォレット、その他の機密情報を吸い上げるように設計された新たに発見された情報窃盗ツール「Noodlophile Stealer」をダウンロードします。

場合によっては、XWormのようなリモートアクセストロイの木馬も展開し、攻撃者に感染したシステムへのより深い制御を与えます。

「Noodlophile Stealerはマルウェアエコシステムへの新たな追加を表しています。公に文書化されていないこの窃盗ツールは、ブラウザの認証情報の盗難、ウォレットの流出、オプションのリモートアクセス展開を組み合わせています」とUzanは付け加えました。

キャンペーンの仕組み

Noodlophile Stealerキャンペーンは、ユーザーがソーシャルメディアで宣伝される偽のAI動画生成サイトに誘導されることから始まります。コンテンツをアップロードした後、ユーザーはAI生成の動画が含まれていると主張するZIPアーカイブを受け取ります。実際には、そのアーカイブには無害な動画ファイルに見せかけた巧妙に偽装された実行ファイル（例：Video Dream MachineAI.mp4.exe）が含まれています。特に、システムでファイル拡張子が隠されているユーザーにとっては誤解を招くものです。

「ファイルVideo Dream MachineAI.mp4.exeは、Winauthを介して作成された証明書を使用して署名された32ビットのC++アプリケーションです」とMorphisecは説明します。

「その誤解を招く名前（.mp4動画を示唆する）にもかかわらず、このバイナリは実際には正当な動画編集ツールCapCutの再利用版（バージョン445.0）です。この欺瞞的な命名と証明書は、ユーザーの疑念や一部のセキュリティソリューションを回避するのに役立ちます。」

ファイルを実行すると、複数の実行ファイルとバッチスクリプト（Document.docx/install.bat）を含む多段階の感染チェーンがトリガーされます。マルウェアは、PDFを装ったパスワード保護されたRARアーカイブをデコードするために正当なWindowsツール「certutil.exe」を使用し、永続性のためにレジストリキーを追加します。

次に、srchost.exeを実行し、Noodlophile Stealerをメモリ内で起動する難読化されたPythonスクリプト（randomuser2025.txt）をダウンロードして実行します。Avastが存在するかどうかに応じて、マルウェアはRegAsm.exeをターゲットにしたPEホロウィング機能または直接実行のためのローカルシェルコードローダー機能を使用します。

アクティブになると、ブラウザに保存されたデータ、セッションクッキー、認証情報、トークン、暗号ウォレットファイルを盗み、すべてをTelegramボットを介して流出させます。

通信と配布

マルウェアはTelegramボットを使用して、盗まれたデータを静かにオペレーターに送信します。調査によると、Noodlophileはダークウェブフォーラムでマルウェア・アズ・ア・サービス（MaaS）パッケージの一部として販売されており、「Get Cookie + Pass」サービスとともに提供され、ベトナム語を話す脅威アクターに関連しています。

防御策

このような脅威から身を守るために、ユーザーはソーシャルメディアの広告やメッセージからのリンクをクリックしないこと、アカウントへの不正アクセスを防ぐために多要素認証（MFA）を有効にすること、ソフトウェアのダウンロードは公式のソースと信頼できるチャネルを通じて行うことをお勧めします。

不明なソースからの期間限定オファーやプレビューなどの未承諾のオファーに注意し、マルウェアが悪用する可能性のあるセキュリティの脆弱性を修正するためにソフトウェアを定期的に更新することを確認してください。