Фальшивые инструменты ИИ распространяют вредоносное ПО Noodlophile на более чем 62 тыс. пользователей через Facebook

В тревожном развитии киберпреступники используют популярность инструментов искусственного интеллекта (ИИ) для распространения нового вредоносного ПО под названием «Noodlophile Stealer» через Facebook.

Обманная тактика

Согласно исследователям Morphisec, злоумышленники создают фальшивые платформы для генерации видео на тему «ИИ», которые рекламируются через, казалось бы, легитимные группы Facebook и вирусные кампании в социальных сетях.

Эти группы, имеющие более 62 000 просмотров на одном посте, привлекают пользователей загружать изображения или видео, обещая в ответ контент, сгенерированный ИИ, что указывает на широкий охват кампании.

«Вместо того чтобы полагаться на традиционную фишинг-атаку или сайты с взломанным ПО, они создают убедительные платформы на тему ИИ — часто рекламируемые через выглядящие легитимно группы Facebook и вирусные кампании в социальных сетях», — написал Шмуэль Узань, исследователь угроз Morphisec, в блоге, опубликованном на прошлой неделе.

Понимание Noodlophile Stealer

Вместо того чтобы получать мгновенно сгенерированные ИИ видео, пользователи незаметно загружают вредоносное ПО, а именно недавно обнаруженный инфостилер под названием Noodlophile Stealer, созданный для кражи учетных данных браузера, криптокошельков и другой конфиденциальной информации.

В некоторых случаях он также развертывает троян удаленного доступа, такой как XWorm, предоставляя злоумышленникам более глубокий контроль над зараженной системой.

«Noodlophile Stealer представляет собой новое дополнение к экосистеме вредоносного ПО. Ранее не задокументированный в публичных трекерах вредоносного ПО или отчетах, этот стилер сочетает в себе кражу учетных данных браузера, эксфиляцию кошельков и опциональное развертывание удаленного доступа», — добавил Узань.

Как работает кампания

Кампания Noodlophile Stealer начинается, когда пользователей заманивают на фальшивые сайты генерации видео ИИ, рекламируемые в социальных сетях. После загрузки своего контента пользователи получают ZIP-архив, который, как утверждается, содержит сгенерированное ИИ видео. На самом деле архив содержит хитро замаскированный исполняемый файл (например, Video Dream MachineAI.mp4.exe), который выглядит как безобидный видеофайл, особенно вводя в заблуждение пользователей, у которых расширения файлов скрыты в системах.

«Файл Video Dream MachineAI.mp4.exe — это 32-битное приложение на C++, подписанное с использованием сертификата, созданного через Winauth», — объясняет Morphisec.

«Несмотря на свое вводящее в заблуждение название (предполагающее видео .mp4), этот бинарный файл на самом деле является переработанной версией CapCut, легитимного инструмента для редактирования видео (версия 445.0). Это обманчивое название и сертификат помогают ему избежать подозрений пользователей и некоторых решений безопасности.»

Запуск файла инициирует многоступенчатую цепочку заражения, включающую несколько исполняемых файлов и пакетный скрипт (Document.docx/install.bat). Вредоносное ПО использует легитимный инструмент Windows «certutil.exe» для декодирования защищенного паролем RAR-архива, замаскированного под PDF, и добавляет ключ реестра для постоянства.

Затем оно запускает srchost.exe, который загружает и выполняет запутанный Python-скрипт (randomuser2025.txt), который запускает Noodlophile Stealer в памяти. В зависимости от наличия Avast, вредоносное ПО использует либо функцию PE hollowing, нацеливающуюся на RegAsm.exe, либо локальную функцию загрузчика shellcode для прямого выполнения.

Как только вредоносное ПО активируется, оно крадет данные, хранящиеся в браузере, куки сессий, учетные данные, токены и файлы криптокошельков, эксфилируя все через бота Telegram.

Связь и распространение

Вредоносное ПО использует бота Telegram, чтобы тихо отправлять украденные данные обратно своим операторам. Расследования показывают, что Noodlophile продается как часть пакетов вредоносного ПО как услуга (MaaS) на форумах темной сети, часто вместе с услугами «Get Cookie + Pass» и связано с говорящими на вьетнамском языке злоумышленниками.

Защитные меры

Чтобы защититься от таких угроз, пользователям рекомендуется избегать нажатия на ссылки из рекламы в социальных сетях или сообщений, включать многофакторную аутентификацию (MFA), чтобы предотвратить несанкционированный доступ к учетным записям, и убедиться, что загрузка программного обеспечения осуществляется через официальные источники и доверенные каналы.

Будьте осторожны с нежелательными предложениями, такими как ограниченные по времени сделки или предварительные просмотры от неизвестных источников, и убедитесь, что программное обеспечение регулярно обновляется для исправления уязвимостей безопасности, которые могут использовать вредоносные программы.