Yapay Zeka ve Makine Öğrenimi, Siber Saldırı, Sahtekarlık Yönetimi ve Siber Suç
Noodlophile, AI Video Guise altında kimlik bilgilerini ve cüzdanları çalar
Rashmi Ramesh (Rashmiramesh_) •
12 Mayıs 2025
Bilgisayar korsanları, kullanıcıları, yapay zeka tarafından oluşturulan videolar ürettiğini iddia eden bağlantıları tıklamaya tıklayarak infostalers’ı indirmeye hedefliyor.
Ayrıca bakınız: İş başarınızı yönlendirmek için teminatla güvenli bir strateji
Kampanya, daha önce belgelenmemiş kötü amaçlı yazılımları, oturum çerezlerini, kripto para birimi cüzdanlarını ve hassas belgeleri, Morphisec’ten araştırmacıları bulunan Noodlophile Stealer’ı dağıtmak için sahte üretim platformlarını kullanıyor.
Araştırmacılar, kampanyanın AI’dan sosyal mühendislik cazibesi olarak sömürülmesinin onu benzersiz kıldığını söyledi. “Korsan yazılım veya oyun hileleri olarak gizlenen eski kötü amaçlı yazılım kampanyalarının aksine, bu operasyon daha yeni, daha güvenilir bir kitleyi hedefliyor: yaratıcılar ve verimlilik için yapay zekayı keşfeden küçük işletmeler” dedi.
Saldırganlar, “Dream Machine” ve “Video Dream AI” gibi isimlerle web siteleri oluşturuyor ve bunları yüksek görünürlük Facebook gruplarında tanıtıyor, bazıları 60.000 görüntülemeyi aşıyor. Ziyaretçilere, AI ile çalışan dönüşüm için görünüşte resim veya video yüklemeleri istenir. Siteler, vaat edilen medya dosyasını iade etmek yerine, yanıltıcı bir şekilde adlandırılmış yürütülebilir, olarak adlandırılan bir zip arşivi sağlar, video rüya machineai.mp4.exe ve gizli bir destek bileşenleri klasörü.
Morphisec, yürütülebilir dosyanın Winauth tarafından oluşturulan bir sertifika ile imzalandığını söyledi. “Yanıltıcı ismine rağmen [suggesting an .mp4 video]bu ikili aslında meşru bir video düzenleme aracı olan Capcut’un yeniden tasarlanmış bir versiyonudur. Bu aldatıcı adlandırma ve sertifika, kullanıcı şüphesinden ve bazı güvenlik çözümlerinden kaçmasına yardımcı oluyor ”dedi.
Yürütme ikili, içinde gömülü bir .NET yükleyici başlatır CapCut.exegizlenmiş bir toplu komut dosyası orijinal olarak etiketli belge.docx yeniden adlandıran ve çalıştıran. Bu komut dosyası meşru Windows yardımcı programını kullanıyor certutil.exe Document.pdf olarak maskelenen bir baz 64 kodlu, şifre korumalı bir rar arşivini çözmek için içeriğini paketlenmiş bir RAR aracı aracılığıyla çıkarır ve bir kayıt defteri çalıştırma anahtarı aracılığıyla kalıcılık oluşturur. Daha sonra srchost.exe adlı python tabanlı bir yük yürütülür.
Son aşama uzak bir komut dosyası getirir, randomuser2025.txtbu Noodlophile Stealer’ı tamamen belleğe yerleştirir. Antivirüs ürünü avast tespit edilirse, stealer regAsm.exe. Aksi takdirde, Shellcode enjeksiyonuna başvurur. Çalınan veriler, saldırganlara hasat edilen kimlik bilgilerine, çerezlere, jetonlara ve cüzdan dosyalarına gerçek zamanlı erişim sağlayan bir telgraf botu aracılığıyla ortaya çıkarılır.
Açık kaynaklı soruşturmalar, Noodlophile’ı Vietnamca dili Darknet forumlarına bağlar, burada hizmet olarak kötü amaçlı yazılım paketinin bir parçası olarak sunulur, genellikle “Cookie + Pass” teklifleri ile toplanır. Operatörler, aynı tutamaklara bağlı sosyal medya profilleri aracılığıyla bu sahte AI platformlarını tanıtıyor ve destekliyor.