Yapay Zeka (AI) araçları, içerik oluşturma için ana akım çekiş kazandıkça, siber suçlular sofistike yeni bir saldırı vektörü, sahte AI platformları gelişmiş video ve görüntü düzenleme yeteneklerini vaat ediyor.
Viral sosyal medya kampanyaları ve on binlerce görüşe sahip Facebook grupları aracılığıyla güçlendirilen bu hileli siteler, kullanıcıları kişisel medyayı yüklemeye, yalnızca daha önce belgelenmemiş bir kötü amaçlı yazılım sunmak için cezalandırmaya çekiyor. Noodlophile Stealer.
Bu kötü niyetli yük, tarayıcı kimlik bilgilerini, kripto para cüzdanlarını ve hassas verileri çalar, genellikle bir uzaktan erişim Truva (sıçan) gibi dağıtır Xworm Daha derin sistem kontrolü için.
.png
)
Yem: Sahte AI platformları
Sadece siber güvenlik haberleriyle paylaşılan Morphisec ekibi raporuna göre, kampanya, yapay zeka ile çalışan araçlar, hedefleme yaratıcıları ve verimliliği artıran teknolojileri keşfeden küçük işletmelere yönelik kamu coşkusundan yararlanması için öne çıkıyor.
Geleneksel kimlik avı veya korsan yazılım dolandırıcılıklarından farklı olarak, bu saldırganlar, video üretim platformları gibi meşru AI hizmetlerini taklit eden ikna edici web siteleri hazırlar.
Sosyal medya yayınları, özellikle Facebook’ta, bu sitelere trafik çekiyor ve tek bir yazı 62.000’den fazla görüntüleme kazanıyor.
Kullanıcılar, AI tarafından oluşturulan içerik karşılığında resim veya video yüklemeye ikna edilir. Bunun yerine, “işlenmiş” çıktıları olarak gizlenmiş kötü amaçlı bir dosya indirmeleri istenir.
İndirilen dosya, genellikle bir zip arşivi Videodreamai.zipyanıltıcı bir şekilde başlıklı bir yürütülebilir ürün içerir Video Dream Machineai.mp4.exe.
Bu dosya bir video olarak maskelenir, ancak meşru bir video düzenleme aracını (Capcut, sürüm 445.0) yeniden düzenleyen ve kaçınma tespiti için hileli bir sertifika ile imzalayan 32 bit C ++ uygulamasıdır. Yürütme üzerine, çok aşamalı bir enfeksiyon zinciri başlatır, Noodlophile Stealer Ve bazı durumlarda, Xworm.
Noodlophile Stealer
Noodlophile Stealer tarayıcı kimlik hırsızlığı, kripto para birimi cüzdanı eksfiltrasyonu ve isteğe bağlı sıçan dağıtımını birleştiren daha önce belgelenmemiş bir Infostealer’dır.
Modüler tasarımı ve gizlenmiş teslimatı, kötü amaçlı yazılım ekosistemine zorlu bir katkı sağlar. Kötü amaçlı yazılım, çalınan verileri bir telgraf botu ile ileterek gizli eksfiltrasyon sağlayarak iletir.
Açık kaynaklı zeka (OSINT) soruşturmaları ortaya çıktı Acil durum Hizmet olarak kötü amaçlı yazılım (MAAS) programlarının bir parçası olarak siber suç pazarlarında sunulması, hesap devralma ve kimlik bilgisi hırsızlığı için araçların yanı sıra.
Muhtemelen Vietnamca, dil göstergeleri ve sosyal medya profillerine dayanan geliştirici, ilgili Facebook gruplarında kötü amaçlı yazılımları aktif olarak teşvik ediyor.
Saldırı Zinciri
Enfeksiyon, kullanıcılar sahte bir AI sitesi ile etkileşime girdiğinde, medya yüklediklerinde ve kötü amaçlı zip’i indirdiğinde başlar. İçeride, gizli bir klasör (5.0.0.1886) Anahtar bileşenler içerir:
- Capcut.exe: Bir 140MB C ++ İkili Gömme. Modüler gizleme için çoğunlukla .NET düzenekleri olmak üzere 275 gömülü PE dosyası içerir.
- Aicore.dll: Tek bir aktif ihracata sahip bir yardımcı DLL (inek) harici komutların yürütülmesi için.
- Belge.pdf: Cpython bileşenleri içeren bir PDF olarak gizlenmiş bir baz 64 kodlu, şifre korumalı RAR arşivi.
- Belge.docx: Analizi engellemek için FF Fe işaretleyicileri ile kodlanmış bir kelime belgesi olarak maskelenen bir toplu dosya. Yeniden adlandırıldı Install.batenfeksiyonu düzenler.
- meta: Yeniden adlandırılan bir kazan-rar yardımcı programı Images.exerar arşivini çıkarmak için.
Enfeksiyon aşağıdaki gibi ilerler:
- Capcut.exe Çağrı yapmak için gömülü .NET mantığını kullanarak lansmanlar Capcutloader.
- Capcutloader ping yaparak bağlantıyı doğrular Google.com ve gizlenmiş dosyaları yeniden adlandırın (Belge.docx ile Install.bat– meta ile Images.exe).
- Install.bat kod çözmek Belge.pdf kullanan bir rar arşivine certutil.exesabit kodlanmış bir şifre ile çıkarır (Tongduckkiemdeveloper2025ve Windows Kayıt Defteri aracılığıyla devam ediyor.
- Bir python yükü (srchost.exe), uzak bir sunucudan indirildi, dağıtır Noodlophile Stealer Ve Xworm.
Son yük, bir Acil durum Kimlik Bilgisi hırsızlığı ve python tabanlı bir varyant Xworm İki yayılma yöntemine sahip yükleyici: bellek içi kabuk kodu enjeksiyonu veya pe oyuk Regasm.exe tespitten kaçınmak için.
Kampanya, Base85 kod çözme, Zlib dekompresyonu ve Python’s dahil olmak üzere gelişmiş şaşkınlık kullanıyor Mareşal Disk tabanlı algılamadan kaçınarak bellek içi yükleri yürütmek için modül.
Bir python betiği (randomer2025.txt) otomatik analiz araçlarını kırmak için 10.000 gereksiz işlem içerir. Meşru araçların kullanımı certutil.exe Ve Regasm.exe daha fazla tespiti karmaşıklaştırır.
Bu kampanya, gelişmekte olan teknolojilerden yararlanmada siber suçluların artan sofistike olmasını vurgulamaktadır. Yapay zekaya olan güveni silahlandırarak, saldırganlar daha geniş, daha az şüpheci bir kitleyi hedefliyor.
Tanıtımı Noodlophile Stealer Hızlı proliferasyon sağlayan Maas modelleri ile gelişen kötü amaçlı yazılım manzarasının altını çiziyor.
Kullanıcılara AI platformlarının meşruiyetini doğrulamaları, güvenilmeyen kaynaklardan dosya indirmekten kaçınmaları ve çok aşamalı tehditleri tespit etmek için sağlam güvenlik çözümleri kullanmaları istenir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.