사이버 보안 · 2 min read · Sep 07, 2025

가짜 AI 도구가 페이스북을 통해 62,000명 이상에게 누들로파일 악성코드를 퍼뜨리다

우려스러운 발전으로, 사이버 범죄자들이 인공지능(AI) 도구의 인기를 이용해 ‘누들로파일 스틸러’라는 새로운 악성코드를 페이스북을 통해 배포하고 있습니다.

기만적인 전술

Morphisec의 연구자들에 따르면, 위협 행위자들은 가짜 “AI 테마” 비디오 생성 플랫폼을 만들어, 겉보기에는 합법적인 페이스북 그룹과 바이럴 소셜 미디어 캠페인을 통해 홍보합니다.

이 그룹들은 단일 게시물에서 62,000회 이상의 조회수를 자랑하며, 사용자들이 이미지를 업로드하도록 유도하고, 그 대가로 AI 생성 콘텐츠를 약속하여 캠페인의 광범위한 도달 범위를 나타냅니다.

“전통적인 피싱이나 크랙된 소프트웨어 사이트에 의존하는 대신, 그들은 설득력 있는 AI 테마 플랫폼을 구축합니다 – 종종 합법적으로 보이는 페이스북 그룹과 바이럴 소셜 미디어 캠페인을 통해 광고됩니다.”라고 Morphisec의 위협 연구원인 Shmuel Uzan이 지난주에 발표된 연구 블로그 포스트에서 썼습니다.

누들로파일 스틸러 이해하기

사용자들은 즉각적인 AI 생성 비디오를 받는 대신, 무의식적으로 악성코드를 다운로드하게 되며, 이는 브라우저 자격 증명, 암호화폐 지갑 및 기타 민감한 정보를 빼내도록 설계된 새로운 정보 탈취기인 누들로파일 스틸러입니다.

일부 경우, 이는 XWorm과 같은 원격 접근 트로이안도 배포하여 공격자에게 감염된 시스템에 대한 더 깊은 제어를 부여합니다.

“누들로파일 스틸러는 악성코드 생태계에 새로운 추가 요소를 나타냅니다. 이전에 공개된 악성코드 추적기나 보고서에 문서화되지 않았던 이 스틸러는 브라우저 자격 증명 도용, 지갑 유출 및 선택적 원격 접근 배포를 결합합니다.”라고 Uzan이 덧붙였습니다.

캠페인 작동 방식

누들로파일 스틸러 캠페인은 사용자가 소셜 미디어에서 홍보된 가짜 AI 비디오 생성 사이트로 유인될 때 시작됩니다. 사용자가 콘텐츠를 업로드한 후, AI 생성 비디오가 포함되어 있다고 주장하는 ZIP 아카이브를 받습니다. 실제로 이 아카이브는 해로운 비디오 파일처럼 보이도록 설계된 교묘하게 위장된 실행 파일(예: Video Dream MachineAI.mp4.exe)을 포함하고 있어, 파일 확장이 숨겨진 시스템의 사용자에게 특히 오해를 불러일으킵니다.

“파일 Video Dream MachineAI.mp4.exe는 Winauth를 통해 생성된 인증서를 사용하여 서명된 32비트 C++ 애플리케이션입니다.”라고 Morphisec가 설명합니다.

“잘못된 이름(.mp4 비디오를 암시함)에도 불구하고, 이 바이너리는 실제로 합법적인 비디오 편집 도구인 CapCut의 재사용된 버전(버전 445.0)입니다. 이러한 기만적인 명명과 인증서는 사용자 의심과 일부 보안 솔루션을 피하는 데 도움을 줍니다.”

파일을 실행하면 여러 실행 파일과 배치 스크립트(Document.docx/install.bat)가 포함된 다단계 감염 체인이 시작됩니다. 이 악성코드는 합법적인 Windows 도구인 ‘certutil.exe’를 사용하여 PDF로 가장한 비밀번호 보호 RAR 아카이브를 base64로 인코딩 해독하고 지속성을 위해 레지스트리 키를 추가합니다.

다음으로, srchost.exe를 실행하여 Noodlophile Stealer를 메모리에서 실행하는 난독화된 Python 스크립트(randomuser2025.txt)를 다운로드하고 실행합니다. Avast가 존재하는지에 따라, 악성코드는 RegAsm.exe를 대상으로 하는 PE 할로잉 기능이나 직접 실행을 위한 로컬 셸코드 로더 기능을 사용합니다.

활성화되면, 브라우저에 저장된 데이터, 세션 쿠키, 자격 증명, 토큰 및 암호화폐 지갑 파일을 훔쳐 모든 것을 텔레그램 봇을 통해 유출합니다.

통신 및 배포

이 악성코드는 텔레그램 봇을 사용하여 조용히 도난당한 데이터를 운영자에게 전송합니다. 조사 결과, 누들로파일은 다크 웹 포럼에서 악성코드 서비스(MaaS) 패키지의 일부로 판매되고 있으며, 종종 “쿠키 + 비밀번호 얻기” 서비스와 함께 제공되며, 베트남어를 사용하는 위협 행위자와 연결되어 있습니다.

보호 조치

이러한 위협으로부터 보호하기 위해, 사용자는 소셜 미디어 광고나 메시지의 링크를 클릭하지 말고, 계정에 대한 무단 접근을 방지하기 위해 다단계 인증(MFA)을 활성화하며, 소프트웨어 다운로드는 공식 소스와 신뢰할 수 있는 채널을 통해 이루어져야 합니다.

알 수 없는 출처의 한정 시간 거래나 미리 보기를 포함한 원치 않는 제안에 주의하고, 악성코드가 악용할 수 있는 보안 취약점을 패치하기 위해 소프트웨어가 정기적으로 업데이트되는지 확인해야 합니다.

Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.