虛假 AI 工具通過 Facebook 將 Noodlophile 惡意軟件傳播到 62K+
令人擔憂的是,網絡犯罪分子正在利用人工智能 (AI) 工具的流行,通過 Facebook 傳播一種名為“Noodlophile Stealer”的新惡意軟件。
欺騙策略
Morphisec 的研究人員表示,威脅行為者創建了虛假的“人工智能主題”視頻生成平台,並通過看似合法的 Facebook 群組和病毒式社交媒體活動進行推廣。
這些群組的單個帖子的瀏覽量超過 62,000 次,吸引用戶上傳圖像或視頻,並承諾提供人工智能生成的內容作為回報,這表明該活動的影響範圍廣泛。
Morphisec 威脅研究員 Shmuel Uzan 在上週發表的一篇研究博客文章中寫道:“他們不依賴傳統的網絡釣魚或破解軟件網站,而是構建令人信服的人工智能主題平台,通常通過看似合法的 Facebook 群組和病毒式社交媒體活動進行廣告。”
了解嗜食者偷竊者
用戶不是接收即時人工智能生成的視頻,而是在不知不覺中下載惡意軟件,特別是新發現的名為 Noodlophile Stealer 的信息竊取程序,旨在竊取瀏覽器憑據、加密錢包和其他敏感信息。
在某些情況下,它還會部署 XWorm 等遠程訪問木馬,使攻擊者能夠對受感染的系統進行更深入的控制。
“Noodlophile Stealer 代表了惡意軟件生態系統的新成員。該竊取程序結合了瀏覽器憑據盜竊、錢包洩露和可選的遠程訪問部署,此前並未在公共惡意軟件跟踪器或報告中記錄下來。”Uzan 補充道。
活動如何運作
當用戶被引誘到社交媒體上宣傳的虛假人工智能視頻生成網站時,Noodlophile Stealer 活動就開始了。上傳內容後,用戶會收到一個 ZIP 存檔,聲稱包含人工智能生成的視頻。事實上,該檔案包含一個巧妙偽裝的可執行文件(例如Video Dream MachineAI.mp4.exe),其設計類似於無害的視頻文件,尤其會誤導那些在系統上隱藏文件擴展名的用戶。
“Video Dream MachineAI.mp4.exe 文件是一個 32 位 C++ 應用程序,使用通過 Winauth 創建的證書進行簽名,”Morphisec 解釋道。
“儘管其名稱具有誤導性(暗示為 .mp4 視頻),但該二進製文件實際上是合法視頻編輯工具 CapCut(版本 445.0)的重新調整版本。這種欺騙性的命名和證書有助於它逃避用戶的懷疑和一些安全解決方案。”
運行該文件會觸發涉及多個可執行文件和批處理腳本(Document.docx/install.bat)的多階段感染鏈。該惡意軟件使用合法的 Windows 工具“certutil.exe”來解碼偽裝成 PDF 的 Base64 編碼的受密碼保護的 RAR 存檔,並添加註冊表項以實現持久性。
接下來,它運行 srchost.exe,下載並執行一個混淆的 Python 腳本 (randomuser2025.txt),該腳本在內存中啟動 Noodlophile Stealer。根據 Avast 是否存在,惡意軟件會使用針對 RegAsm.exe 的 PE 挖空函數或本地 shellcode 加載函數來直接執行。
一旦激活,它就會竊取瀏覽器存儲的數據、會話 cookie、憑證、代幣和加密錢包文件,並通過 Telegram 機器人竊取所有內容。
通訊及配送
該惡意軟件使用 Telegram 機器人悄悄地將竊取的數據發送回其操作員。調查顯示,Noodlophile 正在作為惡意軟件即服務 (MaaS) 軟件包的一部分在暗網論壇上出售,通常與“獲取 Cookie + Pass”服務一起出售,並且與講越南語的威脅行為者有關。
防護措施
為了防範此類威脅,建議用戶避免點擊社交媒體廣告或消息中的鏈接,啟用多重身份驗證(MFA)以防止未經授權的帳戶訪問,確保通過官方來源和可信渠道下載軟件
請謹慎對待不請自來的優惠,例如限時優惠或來自未知來源的預覽,並確保定期更新軟件以修補惡意軟件可能利用的安全漏洞。
