هوش مصنوعی یا هوش مخرب؟ بدافزار Noodlophile با ترفند AI و فیس‌بوک، ۶۲هزار کاربر را هدف گرفت!

گروه‌های هکری از ابزارهای جعلی هوش مصنوعی به‌عنوان طعمه برای فریب کاربران و آلوده کردن آن‌ها به بدافزار سرقت اطلاعات Noodlophile، استفاده می‌کنند.

شرکت Morphisec گزارش داد که مهاجمان به‌جای روش‌های سنتی فیشینگ یا سایت‌های نرم‌افزارهای کرک‌شده، پلتفرم‌های جعلی با تم هوش مصنوعی ایجاد کرده‌اند. این پلتفرم‌ها از طریق گروه‌های فیس‌بوکی به ظاهر معتبر و کمپین‌های ویروسی در شبکه‌های اجتماعی تبلیغ می‌شوند. یکی از این صفحات جعلی بیش از ۶۲,۰۰۰ بازدید جذب کرده که نشان‌دهنده علاقه کاربران به ابزارهای هوش مصنوعی برای ویرایش تصویر و ویدیو است. صفحات جعلی شناسایی‌شده شامل موارد زیر هستند:

• Luma Dreammachine AI
• Luma Dreammachine
• Gratistuslibros

زنجیره حمله

کاربران با ورود به این صفحات، به کلیک روی لینک‌هایی ترغیب می‌شوند و سپس وعده تولید محتوای هوش مصنوعی مانند ویدیو، لوگو، تصویر یا وب‌سایت می‌دهند. یکی از این وب‌سایت‌های جعلی با جعل هویت CapCut AI، خود را «ویرایشگر ویدیوی همه‌کاره با قابلیت‌های جدید هوش مصنوعی» معرفی می‌کند.

پس از بارگذاری تصویر یا ویدیو توسط کاربر، او به دانلود محتوای تولیدشده هدایت می‌شود؛ اما به‌جای فایل مورد نظر، یک فایل ZIP مخرب به نام VideoDreamAI.zip دریافت می‌کند. این فایل حاوی یک فایل جعلی با نام Video Dream MachineAI.mp4.exe است که زنجیره آلودگی را آغاز می‌کند.

این فایل ابتدا یک باینری قانونی از ویرایشگر ویدیوی ByteDance به نام CapCut.exe را اجرا می‌کند. این فایل اجرایی، که با زبان ++C نوشته شده، یک لودر مبتنی بر .NET به نام CapCutLoader را فعال می‌کند. لودر سپس یک پیلود پایتونی با نام srchost.exe را از سرور راه دور بارگیری و اجرا می‌کند.

این فایل پایتونی بدافزار Noodlophile را مستقر می‌کند که قادر به سرقت اطلاعات کاربری مرورگر، کیف‌پول‌های رمزارز و سایر داده‌های حساس است. در برخی موارد، این بدافزار همراه با تروجان دسترسی از راه دور (RAT) مانند XWorm توزیع شده تا دسترسی پایدار به سیستم قربانی فراهم کند.