Исследователь компании Morphisec Шмуэль Узан обнаружил новую кампанию кибермошенников, которые используют фальшивые сервисы на базе искусственного интеллекта для распространения вредоносного ПО Noodlophile. Злоумышленники нацелены на пользователей, ищущих ИИ-инструменты для редактирования видео и изображений. По данным исследования, только один пост в Ф⃰, рекламирующий такие поддельные сервисы, набрал более 62 000 просмотров.
Распространение вредоносного ПО осуществляется через легитимно выглядящие группы в Ф⃰ и вирусные кампании в социальных сетях. Среди выявленных фейковых страниц в соцсетях: Luma Dreammachine Al, Luma Dreammachine и gratistuslibros. Эти страницы рекламируют несуществующие ИИ-сервисы для создания видео, логотипов, изображений и веб-сайтов.
Одна из поддельных платформ маскируется под "CapCut AI", предлагая «универсальный видеоредактор с новыми функциями искусственного интеллекта». Схема заражения начинается с того, что пользователи загружают изображения или видео на фальшивые ИИ-сайты, после чего им предлагается скачать якобы «контент, сгенерированный искусственным интеллектом».
Вместо обещанного контента жертва загружает вредоносный ZIP-архив под названием "VideoDreamAI.zip". При запуске файла "Video Dream MachineAI.mp4.exe" из архива активируется легитимный видеоредактор ByteDance ("CapCut.exe"), что маскирует вредоносную активность. Одновременно исполняемый файл на C++ запускает загрузчик на ("CapCutLoader"), который скачивает Python-нагрузку ("srchost.exe") с удаленного сервера. Этот Python-бинарный файл разворачивает стилер Noodlophile.
Noodlophile Stealer обладает широкими возможностями по похищению данных: он собирает учетные данные браузеров, информацию о криптовалютных кошельках и другие конфиденциальные данные пользователей. Некоторые варианты вредоносного ПО поставляются в комплекте с троянским ПО удаленного доступа XWorm, что расширяет возможности злоумышленников.
Исследование указывает на вьетнамское происхождение разработчика вредоносного ПО. На своей странице GitHub он называет себя «увлеченным разработчиком вредоносного ПО из Вьетнама». Аккаунт был создан 16 марта 2023 года. Стоит отметить, что Вьетнам имеет историю распространения стилеров, нацеленных на пользователей Ф⃰.
В более широком контексте, компания М⃰ в 2023 году удалила более 1000 вредоносных URL-адресов, которые использовали ChatGPT для распространения примерно 10 семейств вредоносного ПО. Недавно компания CYFIRMA также идентифицировала другой стилер — "PupkinStealer",.NET-базированное вредоносное ПО, нацеленное на системы Windows.
PupkinStealer отличается тем, что передает украденные данные через бота в Telegram, контролируемого злоумышленниками. Он использует простую схему исполнения с низкопрофильным поведением, что помогает избегать обнаружения антивирусными системами.
Эксперты рекомендуют пользователям проявлять особую осторожность при взаимодействии с неизвестными ИИ-сервисами, особенно рекламируемыми через социальные сети, и всегда проверять легитимность таких платформ перед загрузкой и установкой любого программного обеспечения.
Распространение вредоносного ПО осуществляется через легитимно выглядящие группы в Ф⃰ и вирусные кампании в социальных сетях. Среди выявленных фейковых страниц в соцсетях: Luma Dreammachine Al, Luma Dreammachine и gratistuslibros. Эти страницы рекламируют несуществующие ИИ-сервисы для создания видео, логотипов, изображений и веб-сайтов.
Одна из поддельных платформ маскируется под "CapCut AI", предлагая «универсальный видеоредактор с новыми функциями искусственного интеллекта». Схема заражения начинается с того, что пользователи загружают изображения или видео на фальшивые ИИ-сайты, после чего им предлагается скачать якобы «контент, сгенерированный искусственным интеллектом».
Вместо обещанного контента жертва загружает вредоносный ZIP-архив под названием "VideoDreamAI.zip". При запуске файла "Video Dream MachineAI.mp4.exe" из архива активируется легитимный видеоредактор ByteDance ("CapCut.exe"), что маскирует вредоносную активность. Одновременно исполняемый файл на C++ запускает загрузчик на ("CapCutLoader"), который скачивает Python-нагрузку ("srchost.exe") с удаленного сервера. Этот Python-бинарный файл разворачивает стилер Noodlophile.
Noodlophile Stealer обладает широкими возможностями по похищению данных: он собирает учетные данные браузеров, информацию о криптовалютных кошельках и другие конфиденциальные данные пользователей. Некоторые варианты вредоносного ПО поставляются в комплекте с троянским ПО удаленного доступа XWorm, что расширяет возможности злоумышленников.
Исследование указывает на вьетнамское происхождение разработчика вредоносного ПО. На своей странице GitHub он называет себя «увлеченным разработчиком вредоносного ПО из Вьетнама». Аккаунт был создан 16 марта 2023 года. Стоит отметить, что Вьетнам имеет историю распространения стилеров, нацеленных на пользователей Ф⃰.
В более широком контексте, компания М⃰ в 2023 году удалила более 1000 вредоносных URL-адресов, которые использовали ChatGPT для распространения примерно 10 семейств вредоносного ПО. Недавно компания CYFIRMA также идентифицировала другой стилер — "PupkinStealer",.NET-базированное вредоносное ПО, нацеленное на системы Windows.
PupkinStealer отличается тем, что передает украденные данные через бота в Telegram, контролируемого злоумышленниками. Он использует простую схему исполнения с низкопрофильным поведением, что помогает избегать обнаружения антивирусными системами.
Эксперты рекомендуют пользователям проявлять особую осторожность при взаимодействии с неизвестными ИИ-сервисами, особенно рекламируемыми через социальные сети, и всегда проверять легитимность таких платформ перед загрузкой и установкой любого программного обеспечения.
