Pratite nas preko RSS-aLažni AI video generatori koji se reklamiraju na Facebook-u šire novi malver koji krade podatke korisnika
Opisi virusa, 12.05.2025, 11:30 AM
Lažni AI alati za generisanje videa koriste se za distribuciju novog malvera za krađu informacija pod nazivom „Noodlophile“.
Veb sajtovi sa primamljivim nazivima poput „Dream Machine“ reklamiraju se u poznatim grupama na Facebooku, gde se predstavljaju kao AI alati koji generišu video snimke na osnovu korisničkih fajlova.
Upotreba AI alata za isporuku malvera nije novi koncept u sajber kriminalu. Ono što je novo u ovom slučaju je novi malver za krađu informacija koga su otkrili istraživači iz kompanije Morphisec.
Noodlophile se prodaje na forumima dark veba, često u paketu sa uslugama „Get Cookie + Pass“.
Kada žrtva poseti zlonamerni veb sajt i otpremi svoje fajlove, dobija ZIP arhivu koja bi trebalo da sadrži video koji je generisala veštačka inteligencija. Umesto videa, ZIP fajl sadrži fajl Video Dream MachineAI.mp4.exe i skriveni folder sa fajlovima potrebnim za naredne faze. Ako korisnik Windows-a ima onemogućene ekstenzije fajlova, ovo će mu izgledati kao MP4 video fajl.
„Fajl Video Dream MachineAI.mp4.exe je 32-bitna C++ aplikacija potpisana pomoću sertifikata kreiranog putem Winauth-a“, objašnjava Morphisec.
Uprkos obmanjujućem nazivu (koji ukazuje da je u pitanju .mp4 video), ovaj fajl je zapravo modifikovana verzija CapCut-a, legitimnog alata za video montažu (verzija 445.0). Ovaj naziv fajla i sertifikat pomažu mu da ne izazove sumnju kod korisnika i da ga ne detektuju neka bezbednosna rešenja.
Kada žrtva dva puta klikne na lažni MP4 fajl pokrenuće se niz exe fajlova koji na kraju pokreću Document.docx/install.bat koji koristi legitimni Windows alat „certutil.exe“ za dekodiranje i ekstrakciju RAR arhive zaštićene lozinkom. Ovaj fajl se predstavlja kao PDF dokument. Istovremeno, dodaje se i novi ključ registra zbog perzistentnosti.
Posle niza koraka, na kraju se sa servera napadača preuzima Noodlophile Stealer. Noodlophile je novi malver za krađu informacija koji krade podatke sačuvane u veb pregledačima kao što su podaci o nalogu, kolačići sesije, tokeni i fajlovi novčanika za kriptovalute.
Podaci se kradu putem Telegram bota, koji služi kao tajni server za komandu i kontrolu (C2), dajući napadačima pristup ukradenim informacijama u realnom vremenu.
U nekim slučajevima, Noodlophile ide u paketu sa XWorm-om, trojancem za daljinski pristup, pružajući napadačima veće mogućnosti za krađu podataka koje su daleko veće od pasivne krađe koju omogućava Noodlophile.
Najbolji način da se zaštitite od malvera je da izbegavate preuzimanje fajlova sa nepoznatih veb sajtova. Uvek proverite ekstenzije fajlova i pre otvaranja skenirajte sve preuzete fajlove ažuriranim antivirusom.
Foto: Glen Carrie | Unsplash
Izdvojeno
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Tiha oluja: novi kradljivac lozinki Storm menja pravila igre
Istraživači iz Varonisa otkrili su novu varijantu infostealer malvera pod nazivom Storm, koja prikuplja kredencijale pregledača, kolačiće sesije... Dalje
Malver DeepLoad kombinuje ClickFix i AI-generisani kod za izbegavanje detekcije
Nova kampanja malvera, nazvana DeepLoad, kombinuje socijalni inženjering i tehnike izbegavanja generisane veštačkom inteligencijom kako bi kompromi... Dalje
Pratite nas
Nagrade
Prijatelji
