Фалшиви онлайн инструменти, представящи се като базирани на изкуствен интелект (ИИ) платформи за видео генериране, се използват за разпространение на нова форма на крадящ зловреден софтуер – Noodlophile. Кампанията е открита и анализирана от изследователи на компанията Morphisec, които разкриват многослойната и добре прикрита схема за заразяване.

Примамка с „ИИ видео генератори“

Киберпрестъпниците използват примамливи имена като „Dream Machine“ и активно рекламират сайтовете си във Facebook групи с голяма видимост. Те се представят за авангардни ИИ инструменти, които генерират видеа въз основа на качени от потребителя файлове. След качването, жертвата получава ZIP архив, който уж съдържа генерираното видео – но в действителност това е началото на инфекцията.

От видео към вирус – как се случва заразяването?

Архивът съдържа файл с подвеждащо име: Video Dream MachineAI.mp4.exe. Ако в операционната система Windows е изключено показването на файловите разширения (нещо силно непрепоръчително), файлът изглежда като обикновено видео. Реално това е 32-битово C++ приложение, модифицирана версия на легитимния инструмент CapCut, подписано със сертификат, създаден чрез Winauth – всичко с цел да избегне подозрение и засичане от защитен софтуер.

След стартиране, файлът задейства многоетапна верига от действия. Първо се стартира batch скрипт от път като Document.docx/install.bat, който използва certutil.exe – легитимен инструмент в Windows – за декодиране и извличане на base64-кодиран, защитен с парола RAR архив, представен като PDF документ. Успоредно с това се добавя и ключ в регистъра за устойчивост на инфекцията.

Следва изпълнение на srchost.exe, който зарежда обфускиран Python скрипт от фиксиран адрес, иницииращ в паметта зареждане на зловредния компонент Noodlophile Stealer.

Какво прави Noodlophile?

Малуерът е специализиран в кражба на чувствителна информация, включително:

• Данни за акаунти и пароли, съхранявани в уеб браузъри;

• Сесийни бисквитки и токени;

• Файлове с криптовалути и портфейли.

Източената информация се изпраща към Telegram бот, използван като прикрит сървър за управление и контрол (C2), давайки на нападателите реалновременен достъп до откраднатите данни. В някои случаи, Noodlophile е комбиниран и с отдалечен троянец XWorm, с което възможностите за достъп и контрол значително се разширяват.

Ако върху заразената система бъде открит антивирусният софтуер Avast, злонамереният код се инжектира в легитимния процес RegAsm.exe чрез PE hollowing. В противен случай се използва инжектиране на shellcode директно в паметта.

Кой стои зад атаката?

Според Morphisec, Noodlophile се предлага като услуга в даркнета – типична операция от модела „зловреден софтуер като услуга“ (MaaS). В много случаи е обвързан с т.нар. „Get Cookie + Pass“ пакети, а операторите, стоящи зад него, говорят виетнамски. Това подчертава нарастващото географско и технологично разнообразие на заплахите.

Как да се предпазим?

• Не сваляйте и не стартирайте файлове от непознати сайтове, дори да изглеждат „иновативни“ или „ИИ-базирани“.

• Винаги показвайте файловите разширения в Windows, за да разпознаете фалшиви изпълними файлове.

• Използвайте актуален антивирусен софтуер, който може да открива подобни маскировки и скриптове.