Agentes de ameaça foram observados aproveitando ferramentas falsas de inteligência artificial (AI) como uma isca para atrair usuários a baixarem um malware de roubo de informações apelidado de Noodlophile.
"Em vez de depender de phishing tradicional ou sites de software crackeado, eles constroem plataformas temáticas de AI convincentes - frequentemente anunciadas via grupos do Facebook com aparência legítima e campanhas de mídia social virais", disse o pesquisador da Morphisec, Shmuel Uzan, em um relatório publicado na semana passada.
Posts compartilhados nessas páginas foram encontrados atraindo mais de 62.000 visualizações em um único post, indicando que usuários procurando por ferramentas de AI para edição de vídeo e imagem são o alvo desta campanha.
Algumas das páginas falsas de mídia social identificadas incluem Luma Dreammachine AI, Luma Dreammachine e gratistuslibros.
Usuários que chegam aos posts de mídia social são incentivados a clicar em links que anunciam serviços de criação de conteúdo alimentados por AI, incluindo vídeos, logotipos, imagens e até mesmo sites.
Um dos sites falsos se disfarça como CapCut AI, oferecendo aos usuários um "editor de vídeo tudo em um com novas funcionalidades de AI".
Assim que os usuários desavisados carregam suas fotos ou vídeos nestes sites, eles são então solicitados a baixar o suposto conteúdo gerado por AI, ponto no qual um arquivo ZIP malicioso ("VideoDreamAI.zip") é baixado em vez disso.
Dentro do arquivo, há um arquivo enganoso chamado "Video Dream MachineAI.mp4.exe" que inicia a cadeia de infecção ao lançar um binário legítimo associado ao editor de vídeo da ByteDance ("CapCut.exe").
Esse executável baseado em C++ é usado para rodar um carregador baseado em .NET chamado CapCutLoader que, por sua vez, carrega finalmente um payload Python ("srchost.exe") de um servidor remoto.
O binário Python abre caminho para a implantação do Noodlophile Stealer, que vem com capacidades para colher credenciais de navegador, informações de carteiras de criptomoedas e outros dados sensíveis.
Algumas instâncias também embutiram o stealer com um trojan de acesso remoto como o XWorm para acesso enraizado aos hosts infectados.
O desenvolvedor do Noodlophile é avaliado como sendo de origem vietnamita, que, em seu perfil no GitHub, afirma ser um "Desenvolvedor de Malware apaixonado do Vietnã".
A conta foi criada em 16 de março de 2025.
Vale ressaltar que a nação do Sudeste Asiático é lar de um ecossistema próspero de crimes cibernéticos que tem um histórico de distribuição de várias famílias de malware stealer visando o Facebook.
Atores maliciosos instrumentalizando o interesse público em tecnologias de AI para sua vantagem não é um fenômeno novo.
Em 2023, a Meta disse que removeu mais de 1.000 URLs maliciosas de serem compartilhadas em seus serviços que foram encontradas aproveitando o ChatGPT da OpenAI como uma isca para propagar cerca de 10 famílias de malware desde março de 2023.
A divulgação ocorre à medida que a CYFIRMA detalha outra nova família de malware stealer baseada em .NET, codinome PupkinStealer, que pode roubar uma ampla gama de dados de sistemas Windows comprometidos e exfiltrá-los para um bot controlado por atacantes no Telegram.
"Sem defesas específicas contra análises ou mecanismos de persistência, o PupkinStealer depende de execução direta e comportamento de baixo perfil para evitar detecção durante sua operação", disse a empresa de cibersegurança.
PupkinStealer exemplifica uma forma simples, porém eficaz, de malware de roubo de dados que alavanca comportamentos comuns do sistema e plataformas amplamente utilizadas para exfiltrar informações sensíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...