Специалисты по кибербезопасности компании Morphisec выявили новую масштабную кампанию, в рамках которой злоумышленники эксплуатируют растущий интерес к технологиям искусственного интеллекта для распространения опасного инфостилера Noodlophile. Мошенники создают поддельные веб-сайты, якобы предоставляющие продвинутые ИИ-сервисы для генерации видеоконтента.
Механизм распространения вредоносного ПО
Злоумышленники активно продвигают фальшивые ИИ-платформы, такие как Dream Machine, через социальные сети. Их публикации набирают более 62 000 просмотров, нацеливаясь на пользователей, заинтересованных в инструментах редактирования видео и изображений с помощью ИИ. При попытке использовать сервис жертва получает ZIP-архив, содержащий замаскированное вредоносное ПО вместо обещанного видеоконтента.
Техническая реализация атаки
Вредоносная программа распространяется в виде исполняемого файла с обманчивым названием «Video Dream MachineAI.mp4.exe». Это модифицированная версия легитимного видеоредактора CapCut, подписанная сертификатом Winauth для обхода систем безопасности. При запуске файла активируется сложная цепочка выполнения, включающая использование легитимных Windows-инструментов и обфусцированных скриптов.
Функциональность инфостилера Noodlophile
Noodlophile, разработанный предположительно вьетнамскими операторами, специализируется на краже конфиденциальных данных из браузеров: учетных записей, cookies, сессий, токенов и информации криптовалютных кошельков. Похищенные данные передаются через Telegram-бота, выступающего в роли скрытого командного центра.
Дополнительные угрозы и распространение
Исследователи отмечают, что Noodlophile распространяется по модели malware-as-a-service в даркнете, часто в комплекте с сервисами Get Cookie + Pass. В некоторых случаях вредонос комбинируется с трояном удаленного доступа XWorm, что существенно расширяет возможности злоумышленников по компрометации систем жертв.
Данная кампания демонстрирует, как киберпреступники адаптируют свои методы под актуальные тренды, используя популярность ИИ-технологий в качестве приманки. Пользователям рекомендуется проявлять особую осторожность при использовании неизвестных онлайн-сервисов, особенно требующих загрузки исполняемых файлов, и всегда проверять расширения загружаемых файлов, даже если они кажутся безопасными медиафайлами.
