Pratite nas preko RSS-aLažni AI video generatori koji se reklamiraju na Facebook-u šire novi malver koji krade podatke korisnika
Opisi virusa, 12.05.2025, 11:30 AM
Lažni AI alati za generisanje videa koriste se za distribuciju novog malvera za krađu informacija pod nazivom „Noodlophile“.
Veb sajtovi sa primamljivim nazivima poput „Dream Machine“ reklamiraju se u poznatim grupama na Facebooku, gde se predstavljaju kao AI alati koji generišu video snimke na osnovu korisničkih fajlova.
Upotreba AI alata za isporuku malvera nije novi koncept u sajber kriminalu. Ono što je novo u ovom slučaju je novi malver za krađu informacija koga su otkrili istraživači iz kompanije Morphisec.
Noodlophile se prodaje na forumima dark veba, često u paketu sa uslugama „Get Cookie + Pass“.
Kada žrtva poseti zlonamerni veb sajt i otpremi svoje fajlove, dobija ZIP arhivu koja bi trebalo da sadrži video koji je generisala veštačka inteligencija. Umesto videa, ZIP fajl sadrži fajl Video Dream MachineAI.mp4.exe i skriveni folder sa fajlovima potrebnim za naredne faze. Ako korisnik Windows-a ima onemogućene ekstenzije fajlova, ovo će mu izgledati kao MP4 video fajl.
„Fajl Video Dream MachineAI.mp4.exe je 32-bitna C++ aplikacija potpisana pomoću sertifikata kreiranog putem Winauth-a“, objašnjava Morphisec.
Uprkos obmanjujućem nazivu (koji ukazuje da je u pitanju .mp4 video), ovaj fajl je zapravo modifikovana verzija CapCut-a, legitimnog alata za video montažu (verzija 445.0). Ovaj naziv fajla i sertifikat pomažu mu da ne izazove sumnju kod korisnika i da ga ne detektuju neka bezbednosna rešenja.
Kada žrtva dva puta klikne na lažni MP4 fajl pokrenuće se niz exe fajlova koji na kraju pokreću Document.docx/install.bat koji koristi legitimni Windows alat „certutil.exe“ za dekodiranje i ekstrakciju RAR arhive zaštićene lozinkom. Ovaj fajl se predstavlja kao PDF dokument. Istovremeno, dodaje se i novi ključ registra zbog perzistentnosti.
Posle niza koraka, na kraju se sa servera napadača preuzima Noodlophile Stealer. Noodlophile je novi malver za krađu informacija koji krade podatke sačuvane u veb pregledačima kao što su podaci o nalogu, kolačići sesije, tokeni i fajlovi novčanika za kriptovalute.
Podaci se kradu putem Telegram bota, koji služi kao tajni server za komandu i kontrolu (C2), dajući napadačima pristup ukradenim informacijama u realnom vremenu.
U nekim slučajevima, Noodlophile ide u paketu sa XWorm-om, trojancem za daljinski pristup, pružajući napadačima veće mogućnosti za krađu podataka koje su daleko veće od pasivne krađe koju omogućava Noodlophile.
Najbolji način da se zaštitite od malvera je da izbegavate preuzimanje fajlova sa nepoznatih veb sajtova. Uvek proverite ekstenzije fajlova i pre otvaranja skenirajte sve preuzete fajlove ažuriranim antivirusom.
Foto: Glen Carrie | Unsplash
Izdvojeno
Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer
Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami po... Dalje
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Pratite nas
Nagrade
Prijatelji
