Gli attori delle minacce sono stati osservati sfruttare strumenti falsi basati su intelligenza artificiale (AI) come esca per indurre gli utenti a scaricare un malware di tipo information stealer chiamato Noodlophile.
Invece di affidarsi a metodi tradizionali come il phishing o siti di software craccati, questi attori costruiscono piattaforme a tema AI convincenti, spesso pubblicizzate tramite gruppi Facebook dall’aspetto legittimo e campagne virali sui social media. Secondo il ricercatore di Morphisec, Shmuel Uzan, in un rapporto pubblicato la scorsa settimana, i post condivisi su queste pagine hanno attirato oltre 62.000 visualizzazioni su un singolo post, indicando che gli utenti alla ricerca di strumenti AI per l’editing video e immagini sono il bersaglio di questa campagna.
Alcune delle false pagine sui social media identificate includono Luma Dreammachine Al, Luma Dreammachine e gratistuslibros. Gli utenti che arrivano ai post sui social media sono invitati a cliccare su link che pubblicizzano servizi di creazione di contenuti basati su AI, tra cui video, loghi, immagini e persino siti web. Uno dei siti web fasulli si spaccia per CapCut AI, offrendo agli utenti un “editor video tutto-in-uno con nuove funzionalità AI”.
Una volta che gli utenti ignari caricano le loro immagini o video su questi siti, viene chiesto loro di scaricare il presunto contenuto generato dall’AI, a quel punto viene scaricato un archivio ZIP malevolo (“VideoDreamAI.zip”). All’interno del file si trova un file ingannevole chiamato “Video Dream MachineAI.mp4.exe” che avvia la catena di infezione lanciando un binario legittimo associato all’editor video di ByteDance (“CapCut.exe”). Questo eseguibile basato su C++ viene utilizzato per eseguire un loader basato su .NET chiamato CapCutLoader che, a sua volta, carica infine un payload Python (“srchost.exe”) da un server remoto.
Il binario Python apre la strada al dispiegamento di Noodlophile Stealer, che ha la capacità di raccogliere credenziali del browser, informazioni sui portafogli di criptovalute e altri dati sensibili. In alcuni casi selezionati, lo stealer è stato abbinato a un trojan di accesso remoto come XWorm per un accesso radicato agli host infetti.
Lo sviluppatore di Noodlophile è valutato come di origine vietnamita, che, sul suo profilo GitHub, afferma di essere un “appassionato sviluppatore di malware dal Vietnam”. L’account è stato creato il 16 marzo 2025. Vale la pena sottolineare che la nazione del sud-est asiatico ospita un fiorente ecosistema di criminalità informatica con una storia di distribuzione di varie famiglie di malware stealer che prendono di mira Facebook.
Gli attori malintenzionati che sfruttano l’interesse pubblico per le tecnologie AI a loro vantaggio non sono un fenomeno nuovo. Nel 2023, Meta ha dichiarato di aver rimosso oltre 1.000 URL malevoli condivisi sui suoi servizi che sfruttavano ChatGPT di OpenAI come esca per propagare circa 10 famiglie di malware da marzo 2023.
La divulgazione arriva mentre CYFIRMA ha dettagliato un’altra nuova famiglia di malware stealer basata su .NET, denominata PupkinStealer, che può rubare una vasta gamma di dati da sistemi Windows compromessi ed esfiltrarli a un bot Telegram controllato dall’attaccante.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
