Nel panorama sempre più affollato delle tecnologie basate sull’intelligenza artificiale, i cyber criminali stanno sfruttando l’entusiasmo verso l’AI degli utenti per diffondere nuovi e sofisticati malware.
Sebbene l’uso di strumenti di intelligenza artificiale per diffondere malware non sia un concetto nuovo, Morphisec ha recentemente individuato e analizzato un nuovo infostealer: Noodlophile Stealer.
Indice degli argomenti
La trappola delle finte piattaforme AI
Le campagne malevole identificate si basano sulla creazione di siti e strumenti che promettono funzionalità avanzate di generazione video o editing tramite intelligenza artificiale.
In pratica piattaforme fasulle come “Dream Machine” vengono pubblicizzate attraverso canali social e gruppi Facebook apparentemente legittimi, attirando l’interesse di creativi, videomaker e semplici curiosi.
Fonte: Morphisec.
Ciò che accade una volta conquistata la fiducia dell’utente, e che il sito invita a caricare un file (come una foto o un video) per poi restituire, in teoria, una versione elaborata dall’AI.
In realtà, l’utente riceve un archivio scaricabile (VideoDreamAI.zip) contenente un eseguibile mascherato da file video denominato “Video Dream MachineAI.mp4.exe”.
Gli ideatori della campagna cercano di sfruttare la disabilitazione standard applicata da Microsoft Windows per la visualizzazione delle estensioni dei file per far sembrare a prima vista, il binario (.exe) come un vero video “.mp4”. Questo binario è, in realtà, una versione modificata di CapCut, uno strumento di editing video legittimo (versione 445.0).
Fonte: Morphisec.
Il malware Noodlophile Stealer: infezione a più livelli
Facendo doppio click sul falso file mp4 (un’applicazione C++ a 32 bit firmata con un falso certificato attendibile per conferire un’apparenza di legittimità) si attiva una catena d’infezione in più fasi.
Fonte: Morphisec.
L’ obiettivo principale è eseguire un file secondario, CapCut.exe, per attivare un caricatore .NET (“CapCutLoader”) che recupera ed esegue un payload Python (“srchost.exe”) che distribuisceNoodlophile Stealer.
Noodlophile Stealer è un malware capace di rubare credenziali memorizzate nel browser, informazioni da wallet di criptovalute e altri dati sensibili.
Secondo Morphisec, in molti casi verrebbe anche rilasciato in bundle con XWorm, un trojan di accesso remoto che consente agli attaccanti il pieno controllo del sistema infetto.
In tutti i casi, i dati sottratti verrebbero infine inviati agli attaccanti tramite un bot di Telegram, strumento che offre un canale di comunicazione cifrato e difficile da intercettare.
“Noodlophile Stealer rappresenta una nuova aggiunta all’ecosistema dei malware. Precedentemente non documentato in tracker o report di malware pubblici, questo stealer combina il furto di credenziali del browser, l’esfiltrazione del portafoglio e l’implementazione opzionale dell’accesso remoto”, sottolinea il ricercatore Morphisec Shmuel Uzan.
Consigli per difendersi dal malware Noodlophile Stealer
Secondo Morphisec, il Noodlophile Stealer non è solo un malware isolato, ma parte di un’offerta di malware-as-a-service (MaaS) venduta in forum del dark web e gli indizi linguistici raccolti suggerirebbero che il creatore del malware sia di origine vietnamita.
L’emergere di questo attacco dimostra quanto sia fondamentale adottare un atteggiamento critico e prudente nei confronti delle piattaforme online, soprattutto quelle che promettono risultati sorprendenti in cambio di download o upload di file.
Ecco alcune buone pratiche da seguire:
- verificare sempre l’autenticità delle piattaforme AI;
- diffidare da file eseguibili scaricati da fonti non ufficiali;
- mantenere aggiornati antivirus e software di sicurezza.
Pertanto, consapevolezza dei rischi e istruzione informatica restano sempre le migliori armi di difesa per utenti e professionisti.
