Ferramentas de IA Falsas Espalham Malware Noodlophile Para Mais de 62K Via Facebook

Em um desenvolvimento preocupante, cibercriminosos estão aproveitando a popularidade das ferramentas de inteligência artificial (IA) para distribuir um novo malware chamado ‘Noodlophile Stealer’ através do Facebook.

A Tática Enganosa

De acordo com pesquisadores da Morphisec, atores de ameaças criam plataformas de geração de vídeo “temáticas de IA” falsas, promovidas através de grupos aparentemente legítimos no Facebook e campanhas virais nas redes sociais.

Esses grupos, com mais de 62.000 visualizações em uma única postagem, atraem usuários a enviar imagens ou vídeos, prometendo conteúdo gerado por IA em troca, indicando o amplo alcance da campanha.

“Em vez de confiar em phishing tradicional ou sites de software crackeado, eles constroem plataformas convincentes com tema de IA – frequentemente anunciadas através de grupos do Facebook que parecem legítimos e campanhas virais nas redes sociais,” escreveu Shmuel Uzan, Pesquisador de Ameaças da Morphisec, em uma postagem de blog de pesquisa publicada na semana passada.

Entendendo o Noodlophile Stealer

Em vez de receber vídeos gerados por IA instantaneamente, os usuários baixam involuntariamente malware, especificamente, um infostealer recém-descoberto chamado Noodlophile Stealer, projetado para roubar credenciais de navegador, carteiras de criptomoedas e outras informações sensíveis.

Em alguns casos, ele também implanta um trojan de acesso remoto como o XWorm, concedendo aos atacantes controle mais profundo sobre o sistema infectado.

“O Noodlophile Stealer representa uma nova adição ao ecossistema de malware. Anteriormente não documentado em rastreadores de malware públicos ou relatórios, este stealer combina roubo de credenciais de navegador, exfiltração de carteiras e implantação opcional de acesso remoto,” acrescentou Uzan.

Como A Campanha Funciona

A campanha Noodlophile Stealer começa quando os usuários são atraídos para sites falsos de geração de vídeo de IA promovidos nas redes sociais. Após enviar seu conteúdo, os usuários recebem um arquivo ZIP que afirma conter um vídeo gerado por IA. Na realidade, o arquivo contém um executável disfarçado (por exemplo, Video Dream MachineAI.mp4.exe) projetado para se parecer com um arquivo de vídeo inofensivo, especialmente enganoso para usuários que têm extensões de arquivo ocultas em seus sistemas.

“O arquivo Video Dream MachineAI.mp4.exe é uma aplicação C++ de 32 bits assinada usando um certificado criado via Winauth,” explica a Morphisec.

“Apesar de seu nome enganoso (sugerindo um vídeo .mp4), este binário é na verdade uma versão reaproveitada do CapCut, uma ferramenta legítima de edição de vídeo (versão 445.0). Essa nomeação enganosa e certificado ajudam a evitar a suspeita do usuário e algumas soluções de segurança.”

Executar o arquivo aciona uma cadeia de infecção em múltiplas etapas envolvendo vários executáveis e um script em lote (Document.docx/install.bat). O malware usa a ferramenta legítima do Windows ‘certutil.exe’ para decodificar um arquivo RAR protegido por senha codificado em base64 que se passa por um PDF e adiciona uma chave de Registro para persistência.

Em seguida, ele executa srchost.exe, que baixa e executa um script Python ofuscado (randomuser2025.txt) que lança o Noodlophile Stealer na memória. Dependendo da presença do Avast, o malware usa uma função de hollowing PE que mira o RegAsm.exe ou uma função de carregador de shellcode local para execução direta.

Uma vez ativo, ele rouba dados armazenados no navegador, cookies de sessão, credenciais, tokens e arquivos de carteira de criptomoedas, exfiltrando tudo via um bot do Telegram.

Comunicação E Distribuição

O malware usa um bot do Telegram para enviar silenciosamente dados roubados de volta aos seus operadores. Investigações revelam que o Noodlophile está sendo vendido como parte de pacotes de malware como serviço (MaaS) em fóruns da dark web, frequentemente ao lado de serviços de “Get Cookie + Pass”, e está ligado a atores de ameaças que falam vietnamita.

Medidas Protetivas

Para se proteger contra tais ameaças, os usuários são aconselhados a evitar clicar em links de anúncios ou mensagens nas redes sociais, habilitar a autenticação de múltiplos fatores (MFA) para prevenir acesso não autorizado a contas, garantir que downloads de software sejam feitos através de fontes oficiais e canais confiáveis.

Tenha cuidado com ofertas não solicitadas, como promoções por tempo limitado ou prévias de fontes desconhecidas, e assegure-se de que o software esteja regularmente atualizado para corrigir vulnerabilidades de segurança que o malware possa explorar.