En un desarrollo preocupante, los ciberdelincuentes están aprovechando la popularidad de las herramientas de inteligencia artificial (IA) para distribuir un nuevo malware llamado 'robador de noodlophile' a través de Facebook.
La táctica engañosa
Según los investigadores de Morphisec, los actores de amenazas crean plataformas de generación de video «temáticas» falsas, promovidas a través de grupos de Facebook aparentemente legítimos y campañas de redes sociales virales.
Learn more: ¿Cómo exportar más de 40,000 mensajes de WhatsApp? ¡Solución disponible hoy!
Estos grupos, con más de 62,000 vistas en una sola publicación, atraen a los usuarios para cargar imágenes o videos, prometiendo contenido generado por IA a cambio, lo que indica el extenso alcance de la campaña.
«En lugar de confiar en los sitios tradicionales de software de phishing o agrietados, construyen plataformas convincentes con temas de AI-AI, a menudo anunciadas a través de grupos de Facebook de aspecto legítimo y campañas de redes sociales virales», escribió Shmuel Uzan, investigador de amenazas de Morphisec, en una publicación de blog de investigación publicada la semana pasada.
Comprender el robador de noodlófilos
En lugar de recibir videos instantáneos generados por IA, los usuarios descargan sin saberlo Malware, específicamente, un infador de infantes recién descubierto llamado Noodlophile Stealer, construido para desviar las credenciales del navegador, las billeteras criptográficas y otra información confidencial.
En algunos casos, también implementa un troyano de acceso remoto como Xworm, otorgando a los atacantes un control más profundo sobre el sistema infectado.
«Noodlophile Stealer representa una nueva adición al ecosistema de malware. Anteriormente indocumentado en rastreadores o informes públicos de malware, este robador combina robo de credencial de navegador, exfiltración de billetera y despliegue de acceso remoto opcional», agregó Uzan.
Cómo funciona la campaña
La campaña de robador de noodlophile comienza cuando los usuarios son atraídos a sitios de generación de videos de IA falsos promovidos en las redes sociales. Después de subir su contenido, los usuarios reciben un archivo zip que afirma contener un video generado por IA. En realidad, el archivo posee un ejecutable inteligentemente disfrazado (por ejemplo, video dream machineai.mp4.exe) diseñado para parecerse a un archivo de video inofensivo, particularmente engañoso para los usuarios que tienen extensiones de archivos ocultas en sus sistemas.
«El video Dream Machineai.mp4.exe es una aplicación C ++ de 32 bits firmada utilizando un certificado creado a través de Winauth», explica Morphisec.
«A pesar de su nombre engañoso (sugerir un video .mp4), este binario es en realidad una versión reutilizada de Capcut, una herramienta legítima de edición de video (versión 445.0). Este nombre engañoso y certificado ayudan a evadir la sospecha del usuario y algunas soluciones de seguridad».
La ejecución del archivo desencadena una cadena de infección de varias etapas que involucra varios ejecutables y un script por lotes (document.docx/install.bat). El malware utiliza la herramienta legítima de Windows 'certutil.exe' para decodificar un archivo RAR protegido con contraseña con contraseña codificado Base64 que se posa como un PDF y agrega una clave de registro para la persistencia.
A continuación, ejecuta srchost.exe, que descarga y ejecuta un script de Python ofondeado (RandomUser2025.txt) que lanza el robador de noodlophile en la memoria. Dependiendo de si Avast está presente, el malware utiliza una función de hueco PE que se dirige a Regasm.exe o una función de cargador de código de shellcode local para la ejecución directa.
Una vez activo, roba datos almacenados en el navegador, cookies de sesión, credenciales, fichas y archivos de billetera criptográfica, exfiltrando todo a través de un bot de telegrama.
Comunicación y distribución
El malware utiliza un bot de telegrama para enviar en silencio los datos robados a sus operadores. Las investigaciones revelan que Noodlophile se está vendiendo como parte de los paquetes de malware como servicio (MAAS) en foros web oscuros, a menudo junto con los servicios de «Get Cookie + Pass», y está vinculado a los actores de amenazas de habla vietnamita.
Medidas protectoras
Para salvaguardar contra tales amenazas, se aconseja a los usuarios que eviten hacer clic en los enlaces de los anuncios o mensajes de las redes sociales, habilitar la autenticación multifactor (MFA) para evitar el acceso no autorizado a las cuentas, garantizar que las descargas de software se realicen a través de fuentes oficiales y canales de confianza y canales de confianza
Tenga cuidado con las ofertas no solicitadas, como ofertas de tiempo limitado o vistas previas de fuentes desconocidas, y asegúrese de que el software se actualice regularmente a las vulnerabilidades de seguridad de parches que el malware podría explotar.