Lažni AI video generatori koji se reklamiraju na Facebook-u šire novi malver koji krade podatke korisnika

Opisi virusa, 12.05.2025, 11:30 AM

Lažni AI alati za generisanje videa koriste se za distribuciju novog malvera za krađu informacija pod nazivom „Noodlophile“.

Veb sajtovi sa primamljivim nazivima poput „Dream Machine“ reklamiraju se u poznatim grupama na Facebooku, gde se predstavljaju kao AI alati koji generišu video snimke na osnovu korisničkih fajlova.

Upotreba AI alata za isporuku malvera nije novi koncept u sajber kriminalu. Ono što je novo u ovom slučaju je novi malver za krađu informacija koga su otkrili istraživači iz kompanije Morphisec.

Noodlophile se prodaje na forumima dark veba, često u paketu sa uslugama „Get Cookie + Pass“.

Kada žrtva poseti zlonamerni veb sajt i otpremi svoje fajlove, dobija ZIP arhivu koja bi trebalo da sadrži video koji je generisala veštačka inteligencija. Umesto videa, ZIP fajl sadrži fajl Video Dream MachineAI.mp4.exe i skriveni folder sa fajlovima potrebnim za naredne faze. Ako korisnik Windows-a ima onemogućene ekstenzije fajlova, ovo će mu izgledati kao MP4 video fajl.

„Fajl Video Dream MachineAI.mp4.exe je 32-bitna C++ aplikacija potpisana pomoću sertifikata kreiranog putem Winauth-a“, objašnjava Morphisec.

Uprkos obmanjujućem nazivu (koji ukazuje da je u pitanju .mp4 video), ovaj fajl je zapravo modifikovana verzija CapCut-a, legitimnog alata za video montažu (verzija 445.0). Ovaj naziv fajla i sertifikat pomažu mu da ne izazove sumnju kod korisnika i da ga ne detektuju neka bezbednosna rešenja.

Kada žrtva dva puta klikne na lažni MP4 fajl pokrenuće se niz exe fajlova koji na kraju pokreću Document.docx/install.bat koji koristi legitimni Windows alat „certutil.exe“ za dekodiranje i ekstrakciju RAR arhive zaštićene lozinkom. Ovaj fajl se predstavlja kao PDF dokument. Istovremeno, dodaje se i novi ključ registra zbog perzistentnosti.

Posle niza koraka, na kraju se sa servera napadača preuzima Noodlophile Stealer. Noodlophile je novi malver za krađu informacija koji krade podatke sačuvane u veb pregledačima kao što su podaci o nalogu, kolačići sesije, tokeni i fajlovi novčanika za kriptovalute.

Podaci se kradu putem Telegram bota, koji služi kao tajni server za komandu i kontrolu (C2), dajući napadačima pristup ukradenim informacijama u realnom vremenu.

U nekim slučajevima, Noodlophile ide u paketu sa XWorm-om, trojancem za daljinski pristup, pružajući napadačima veće mogućnosti za krađu podataka koje su daleko veće od pasivne krađe koju omogućava Noodlophile.

Najbolji način da se zaštitite od malvera je da izbegavate preuzimanje fajlova sa nepoznatih veb sajtova. Uvek proverite ekstenzije fajlova i pre otvaranja skenirajte sve preuzete fajlove ažuriranim antivirusom.

Foto: Glen Carrie | Unsplash