Фалшиви онлайн инструменти, представящи се като базирани на изкуствен интелект (ИИ) платформи за видео генериране, се използват за разпространение на нова форма на крадящ зловреден софтуер – Noodlophile. Кампанията е открита и анализирана от изследователи на компанията Morphisec, които разкриват многослойната и добре прикрита схема за заразяване.
Примамка с „ИИ видео генератори“
Киберпрестъпниците използват примамливи имена като „Dream Machine“ и активно рекламират сайтовете си във Facebook групи с голяма видимост. Те се представят за авангардни ИИ инструменти, които генерират видеа въз основа на качени от потребителя файлове. След качването, жертвата получава ZIP архив, който уж съдържа генерираното видео – но в действителност това е началото на инфекцията.
От видео към вирус – как се случва заразяването?
Архивът съдържа файл с подвеждащо име: Video Dream MachineAI.mp4.exe. Ако в операционната система Windows е изключено показването на файловите разширения (нещо силно непрепоръчително), файлът изглежда като обикновено видео. Реално това е 32-битово C++ приложение, модифицирана версия на легитимния инструмент CapCut, подписано със сертификат, създаден чрез Winauth – всичко с цел да избегне подозрение и засичане от защитен софтуер.
След стартиране, файлът задейства многоетапна верига от действия. Първо се стартира batch скрипт от път като Document.docx/install.bat, който използва certutil.exe – легитимен инструмент в Windows – за декодиране и извличане на base64-кодиран, защитен с парола RAR архив, представен като PDF документ. Успоредно с това се добавя и ключ в регистъра за устойчивост на инфекцията.
Следва изпълнение на srchost.exe, който зарежда обфускиран Python скрипт от фиксиран адрес, иницииращ в паметта зареждане на зловредния компонент Noodlophile Stealer.
Какво прави Noodlophile?
Малуерът е специализиран в кражба на чувствителна информация, включително:
-
Данни за акаунти и пароли, съхранявани в уеб браузъри;
-
Сесийни бисквитки и токени;
-
Файлове с криптовалути и портфейли.
Източената информация се изпраща към Telegram бот, използван като прикрит сървър за управление и контрол (C2), давайки на нападателите реалновременен достъп до откраднатите данни. В някои случаи, Noodlophile е комбиниран и с отдалечен троянец XWorm, с което възможностите за достъп и контрол значително се разширяват.
Ако върху заразената система бъде открит антивирусният софтуер Avast, злонамереният код се инжектира в легитимния процес RegAsm.exe чрез PE hollowing. В противен случай се използва инжектиране на shellcode директно в паметта.
Кой стои зад атаката?
Според Morphisec, Noodlophile се предлага като услуга в даркнета – типична операция от модела „зловреден софтуер като услуга“ (MaaS). В много случаи е обвързан с т.нар. „Get Cookie + Pass“ пакети, а операторите, стоящи зад него, говорят виетнамски. Това подчертава нарастващото географско и технологично разнообразие на заплахите.
Как да се предпазим?
-
Не сваляйте и не стартирайте файлове от непознати сайтове, дори да изглеждат „иновативни“ или „ИИ-базирани“.
-
Винаги показвайте файловите разширения в Windows, за да разпознаете фалшиви изпълними файлове.
-
Използвайте актуален антивирусен софтуер, който може да открива подобни маскировки и скриптове.
