Rozwijająca się dziedzina sztucznej inteligencji stwarza nie tylko możliwości, ale także nowe ścieżki dla cyberzagrożeń. Cyberprzestępcy coraz częściej wykorzystują entuzjazm społeczeństwa dla narzędzi AI, tworząc podstępne schematy rozpowszechniania groźnego złośliwego oprogramowania zdolnego do kompromitacji poufnych danych użytkowników.
Złośliwi aktorzy wykorzystują trend związany z AI, tworząc podrabiane aplikacje AI. Te fałszywe aplikacje są agresywnie promowane poprzez kanały mediów społecznościowych, w szczególności grupy na Facebooku i reklamy targetowane. Według badacza bezpieczeństwa Shmuela Uzana z Morphisec, strategia ta odchodzi od typowych witryn phishingowych lub ze złamanym oprogramowaniem na rzecz „przekonujących platform o tematyce AI” reklamowanych poprzez pozornie legalne kampanie w mediach społecznościowych.
Mechanizm infekcji: Od kliknięcia w mediach społecznościowych do wdrożenia malware
Użytkownicy napotykający te promocje są często kierowani na strony docelowe naśladujące prawdziwe usługi AI, takie jak edytory wideo lub obrazów. Mogą być zachęcani do przesłania multimediów, a następnie instruowani do pobrania rzekomego narzędzia AI, często spakowanego w plik ZIP (np. „VideoDreamAI.zip”). To archiwum zawiera rzeczywisty ładunek złośliwego oprogramowania, często skrypt Pythona zaprojektowany do wdrożenia Stealera Noodlophile. Zasięg tych kampanii może być znaczący, a pojedyncze posty podobno gromadzą dziesiątki tysięcy wyświetleń. Zidentyfikowane fałszywe strony zawierają nazwy zaprojektowane tak, aby naśladować popularne usługi, takie jak „Luma Dreammachine AI”, „Luma Dreammaching” i „gratistuslibros”.
Zrozumieć Stealera Noodlophile
Głównym złośliwym oprogramowaniem zidentyfikowanym w tych kampaniach jest Noodlophile, stealer informacji specjalnie zaprojektowany do wycieku poufnych danych. Jego cele obejmują dane uwierzytelniające logowania do przeglądarek, pliki cookie oraz kluczowe informacje o portfelach kryptowalut. W niektórych przypadkach zaobserwowano, że Noodlophile jest dołączany do innego złośliwego oprogramowania, takiego jak Trojan zdalnego dostępu (RAT) XWorm, dając atakującym głębszą kontrolę nad skompromitowanymi systemami. Dowody sugerują, że Noodlophile może być dostępny w ramach usług Malware-as-a-Service (MaaS) na forach cyberprzestępczych, sprzedawany obok narzędzi do przejmowania kont i kradzieży danych uwierzytelniających.
Kluczowym elementem operacji Noodlophile jest wykorzystanie bota Telegramu do komunikacji typu command and control (C&C). Pozwala to złośliwemu oprogramowaniu na potajemne przesyłanie skradzionych danych z powrotem do atakujących. Powszechne użycie Telegramu niestety sprawiło, że stał się on platformą czasami wykorzystywaną do nielegalnej komunikacji i wymiany skompromitowanych danych.
FAŁSZYWE NARZĘDZIA AI TO NOWY KSIĄŻĘ NIGERII — I CZEKAJĄ NA TWOJE HASŁA
Myślisz, że pobierasz kolejny hitowy edytor wideo AI? Niespodzianka — to złośliwe oprogramowanie w przebraniu. Hakerzy wabią ludzi sprytnymi reklamami na Facebooku, promującymi fałszywe narzędzia takie jak „CapCut AI”, zbierając… https://t.co/jOuVc15ZiH pic.twitter.com/hteD7bNuoE
— Mario Nawfal (@MarioNawfal) May 12, 2025
Wskazania wskazują na pochodzenie z Wietnamu dla złośliwego oprogramowania Noodlophile. Ocena ta opiera się częściowo na powiązanym profilu GitHub opisującym jego właściciela jako „pasjonata tworzenia złośliwego oprogramowania z Wietnamu”, który był również widziany interagującego z postami na Facebooku promującymi fałszywe narzędzia AI. Jest to zgodne z szerszymi obserwacjami dotyczącymi działań cyberprzestępczych pochodzących z Azji Południowo-Wschodniej, gdzie platformy takie jak Facebook były wcześniej wykorzystywane do rozpowszechniania złośliwego oprogramowania.
Mateusz jest programistą blockchain, który swoją przygodę z kryptowalutami rozpoczął w czasach, gdy mało kto wiedział, czym jest Bitcoin. Od tamtej pory uczestniczył w wielu innowacyjnych projektach, pomagając w rozwoju zdecentralizowanych aplikacji. Mówi się, że kiedy na horyzoncie widać „zieloną świecę”, Mateusz rzuca wszystko i biegnie do komputera, bo „przecież samo się nie zahodluje”!