Kiberbiztonsági kutatók egy kifinomult új rosszindulatú támadási módszert fedeztek fel, amely a mesterséges intelligencia eszközök felhasználóit veszi célba. A Noodlophile Stealer névre keresztelt, korábban nem dokumentált rosszindulatú szoftvereket hamis AI-videógeneráló platformokon keresztül terjesztik, amelyeket Facebook-csoportokon és más közösségi média platformokon keresztül népszerűsítenek. A támadás kihasználja az AI-alapú tartalomkészítő eszközök iránti növekvő lelkesedést, és fejlett videoszerkesztési képességek ígéretével csalogatja az áldozatokat, hogy aztán rosszindulatú szoftvereket telepítsen. A támadás többlépcsős hiszen a social engineeringet összetett technikai megoldásokkal kombinálja, hogy végül egy trójai programon keresztül érzékeny információkat, köztük a böngésző hitelesítő adatokat és kriptopénz tárca adatokat lopjanak el.
A hagyományos adathalászat vagy szoftverkalózkodás helyett a támadók olyan meggyőző weboldalakat hoznak létre, amelyek a videógenerálási szolgáltatásokat kínáló legitim AI-platformokat utánozzák. Ezeket a hamis platformokat erőteljesen népszerűsítik Facebook-csoportokon és közösségi médiakampányokon keresztül, egyes posztok több mint 62 000 megtekintést értek el. A támadás kifejezetten az egyéni tartalomkészítőket és kisvállalkozásokat célozza meg, akik a mesterséges intelligenciát a termelékenység fokozására használják. Ezek a felhasználók jellemzően kevesebb tapasztalattal rendelkeznek a rosszindulatú szoftverek észlelésével kapcsolatban.
Amikor a felhasználók meglátogatják ezeket a megtévesztő platformokat, arra ösztönzik őket, hogy töltsék fel saját képeiket vagy videóikat AI feldolgozásra. A média feltöltése és az opciók kiválasztása után az áldozatok egy letöltési linket kapnak, amely állítólag az AI által generált videót tartalmazza. Ez a letöltés azonban valójában a rosszindulatú kódot tartalmazza, amely elindítja a fertőzési láncot.
Letöltéskor egy VideoDreamAI.zip12 nevű ZIP-archívum kerül mentésre. Ez az archívum egy megtévesztő nevű, Video Dream MachineAI.mp4.exe nevű futtatható fájlt tartalmaz, amelyet arra terveztek, hogy a szóközök és a félrevezető kiterjesztések kihasználásával videófájlnak álcázza magát. A rosszindulatú futtatható fájl valójában egy 32 bites C++ alkalmazás, amely a Winauth segítségével létrehozott hamis tanúsítvánnyal van aláírva, hogy elkerülje a felismerést.
A Noodlophile Stealer újdonságot jelent a rosszindulatú programok ökoszisztémájában, amelyről korábban nem volt dokumentum a nyilvános rosszindulatú programok nyomkövetőiben vagy jelentéseiben. Ez a kifinomult információlopó számos veszélyes képességet egyesít magában:
-
Képes a böngésző által mentett jelszavak ellopására.
-
Kriptopénz tárca adatok ellopására
-
A tartós irányításhoz és a további távoli hozzáféréshez trójai telepítésére
A rosszindulatú szoftver az ellopott adatokat egy Telegram boton keresztül kommunikálja, lehetővé téve a rejtett kiszivárgást, amely elkerüli a hagyományos parancs- és ellenőrzési felderítési módszereket. Ez a megközelítés lehetővé teszi a támadók számára, hogy az ellopott információkhoz anélkül jussanak hozzá, hogy dedikált szerverinfrastruktúrát tartanának fenn, amelyet blokkolhatnak vagy leállíthatnak.
A nyílt forráskódú hírszerzési (OSINT) vizsgálatok szerint a Noodlophile-t a kiberbűnözési piactereken kínálják „rosszindulatú programok mint szolgáltatás” (malware-as-a-service, MaaS) konstrukció alatt. A fejlesztő a kutatás során talált nyelvi mutatók és közösségi médiaprofilok alapján valószínűleg vietnami. Ez a személy aktívan népszerűsíti a rosszindulatú programot a kapcsolódó Facebook-csoportokban, ezzel is bővítve a terjesztési hálózatot.
Védekezés a fenyegetés ellen
A felhasználóknak óvatosnak kell lenniük, amikor a közösségi médiában közzétett posztokon vagy harmadik fél webhelyein keresztül hirdetett mesterséges intelligencia platformokat használnak. A legális AI-eszközök általában a megfelelő ellenőrzési folyamatokkal rendelkező, bevált vállalati webhelyeken vagy alkalmazásboltokban érhetőek el. Erősen ajánlott a letöltött fájlok kiterjesztésének ellenőrzése.
