Lažni AI video generatori koji se reklamiraju na Facebook-u šire novi malver koji krade podatke korisnika
Opisi virusa, 12.05.2025, 11:30 AM

Lažni AI alati za generisanje videa koriste se za distribuciju novog malvera za krađu informacija pod nazivom „Noodlophile“.
Veb sajtovi sa primamljivim nazivima poput „Dream Machine“ reklamiraju se u poznatim grupama na Facebooku, gde se predstavljaju kao AI alati koji generišu video snimke na osnovu korisničkih fajlova.
Upotreba AI alata za isporuku malvera nije novi koncept u sajber kriminalu. Ono što je novo u ovom slučaju je novi malver za krađu informacija koga su otkrili istraživači iz kompanije Morphisec.
Noodlophile se prodaje na forumima dark veba, često u paketu sa uslugama „Get Cookie + Pass“.
Kada žrtva poseti zlonamerni veb sajt i otpremi svoje fajlove, dobija ZIP arhivu koja bi trebalo da sadrži video koji je generisala veštačka inteligencija. Umesto videa, ZIP fajl sadrži fajl Video Dream MachineAI.mp4.exe i skriveni folder sa fajlovima potrebnim za naredne faze. Ako korisnik Windows-a ima onemogućene ekstenzije fajlova, ovo će mu izgledati kao MP4 video fajl.
„Fajl Video Dream MachineAI.mp4.exe je 32-bitna C++ aplikacija potpisana pomoću sertifikata kreiranog putem Winauth-a“, objašnjava Morphisec.
Uprkos obmanjujućem nazivu (koji ukazuje da je u pitanju .mp4 video), ovaj fajl je zapravo modifikovana verzija CapCut-a, legitimnog alata za video montažu (verzija 445.0). Ovaj naziv fajla i sertifikat pomažu mu da ne izazove sumnju kod korisnika i da ga ne detektuju neka bezbednosna rešenja.
Kada žrtva dva puta klikne na lažni MP4 fajl pokrenuće se niz exe fajlova koji na kraju pokreću Document.docx/install.bat koji koristi legitimni Windows alat „certutil.exe“ za dekodiranje i ekstrakciju RAR arhive zaštićene lozinkom. Ovaj fajl se predstavlja kao PDF dokument. Istovremeno, dodaje se i novi ključ registra zbog perzistentnosti.
Posle niza koraka, na kraju se sa servera napadača preuzima Noodlophile Stealer. Noodlophile je novi malver za krađu informacija koji krade podatke sačuvane u veb pregledačima kao što su podaci o nalogu, kolačići sesije, tokeni i fajlovi novčanika za kriptovalute.
Podaci se kradu putem Telegram bota, koji služi kao tajni server za komandu i kontrolu (C2), dajući napadačima pristup ukradenim informacijama u realnom vremenu.
U nekim slučajevima, Noodlophile ide u paketu sa XWorm-om, trojancem za daljinski pristup, pružajući napadačima veće mogućnosti za krađu podataka koje su daleko veće od pasivne krađe koju omogućava Noodlophile.
Najbolji način da se zaštitite od malvera je da izbegavate preuzimanje fajlova sa nepoznatih veb sajtova. Uvek proverite ekstenzije fajlova i pre otvaranja skenirajte sve preuzete fajlove ažuriranim antivirusom.
Foto: Glen Carrie | Unsplash

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade