Erkennung von Noodlophile Stealer: Neues Malware über gefälschte KI-Videoerstellungstools verteilt

Das sich ständig verändernde Bedrohungsumfeld im Cyberbereich sieht das Aufkommen neuer Malware-Varianten , die durch die weit verbreitete Einführung von KI und deren Ausnutzung zu offensiven Zwecken angetrieben werden. Verteidiger haben kürzlich beobachtet, dass Gegner gefälschte KI-gestützte Werkzeuge nutzen, um Benutzer dazu zu verleiten, eine neue Informationsdiebstahl-Malware herunterzuladen, bekannt als Noodlophile. Die Malware wird oft über gefälschte Facebook-Gruppen und virale Posts beworben und zielt bereits auf über 62.000+ Benutzer ab. 

Noodlophile Stealer erkennen

Während die rasche Einführung von KI-Technologien die Entwicklung von Cyber-Sicherheitslösungen der nächsten Generation vorantreibt, birgt sie auch erhebliche Risiken, da Gegner diese Werkzeuge ebenso schnell wie Verteidiger übernehmen. Gartner prognostiziert , dass bis 2027 mehr als 40 % der KI-bezogenen Datenverletzungen auf die unsachgemäße grenzüberschreitende Nutzung von generativer KI (GenAI) zurückzuführen sein werden. Das Aufkommen neuer Malware, genannt Noodlophile Stealer, die über gefälschte KI-Erstellungstools verbreitet wird und dazu bestimmt ist, sensible Daten von kompromittierten Systemen zu stehlen, zieht erhebliche Aufmerksamkeit von Cybersicherheitsverteidigern auf sich. 

Registrieren Sie sich für die SOC Prime Plattform , um den neuesten Bedrohungen wie dem neu entdeckten Noodlophile Stealer immer einen Schritt voraus zu sein, der bereits tausende Facebook-Nutzer ins Visier genommen hat. Klicken Sie auf den Entdecken Sie Erkennungen Button, um zu einem umfassenden Satz von Sigma-Regeln für die Erkennung des Noodlophile Stealer zu gelangen.

Entdecken Sie Erkennungen

Alle Erkennungsalgorithmen können über mehrere SIEM-, EDR- und Data Lake-Lösungen hinweg genutzt werden und sind auf MITRE ATT&CK® für eine effiziente Bedrohungsforschung abgestimmt. Darüber hinaus ist jede herstellerunabhängige Sigma-Regel mit umsetzbaren Metadaten angereichert, wie z. B. CTI-Links, Angriffstiming, Prüfkonfigurationen und weiterer Cyber-Bedrohungskontext. 

Sicherheitstechniker können sich auch auf Uncoder AIverlassen, das von Llama 70B betrieben und mit fortgeschrittenen KI-Funktionen für die Erkennungstechnik angereichert ist, wobei alle KI-Funktionen jetzt kostenlos zugänglich sind. Erstellen Sie hochwertigen Erkennungscode aus Rohzustandsberichten, ermöglichen Sie eine schnelle Umwandlung von IOC in benutzerdefinierte Jagd-Queries, sagen Sie ATT&CK-Tags voraus, optimieren Sie Query-Code mit KI-Empfehlungen, profitieren Sie von KI-unterstützten plattformübergreifenden Übersetzungsmöglichkeiten und mehr – alles mit einer einzigen Lösung. 

Noodlophile Stealer Analyse

Laut einem aktuellen Bericht des Morphisec-Forschers Shmuel Uzan nutzen Gegner anstelle traditioneller Phishing-Taktiken oder Raubkopien von Softwareseiten realistische, AI-basierte Websites, die über scheinbar legitime Facebook-Gruppen und virale Social-Media-Kampagnen beworben werden.

Einige Beiträge auf diesen Seiten haben über 62.000 Aufrufe erzielt, was darauf hindeutet, dass die Kampagne speziell auf Benutzer abzielt, die auf der Suche nach KI-gestützten Video- und Bildbearbeitungstools sind. Insbesondere diese betrügerischen Seiten umfassen Luma Dreammachine AI, Luma Dreammachine und gratistuslibros. Benutzer, die zu den Social-Media-Posts geleitet werden, werden aufgefordert, auf die Links zu klicken, die KI-basierte Inhalte, wie z. B. Videos, Logos, Bilder und Websites, bewerben. 

Die gefälschten KI-generierten Videos verteilen Malware, die als KI-Ausgabe getarnt ist und nach dem Hochladen der Bilder durch Benutzer zur Verarbeitung bereitgestellt wird. Noodlophile Stealer, eine neue Ergänzung im Malware-Ökosystem, kombiniert Diebstahl von Browser-Anmeldedaten, Exfiltration von Wallets und optionaler Bereitstellung von Fernzugriff. Im Gegensatz zu älteren Malware-Kampagnen nutzt diese AI als eine Social-Engineering-Taktik, die auf Ersteller und kleine Unternehmen abzielt, die AI-Werkzeuge erkunden. Benutzer laden unwissentlich eine bösartige Nutzlast herunter, die einen neu entdeckten Infostealer enthält. Der Noodlophile Stealer kommuniziert mit Angreifern über einen Telegram-Bot zur Exfiltration und wird auf Cyberkriminalitätsmärkten als Teil von MaaS, zusammen mit Tools zur Übernahme von Konten, vermarktet. Der Entwickler, wahrscheinlich aus Vietnam, wurde gesehen, diese neue Methode in sozialen Medien zu bewerben.

Nachdem Benutzer ihre Bild- oder Videoprompten auf den gefälschten Seiten hochgeladen haben, werden sie aufgefordert, die angeblich KI-generierten Inhalte herunterzuladen, erhalten stattdessen jedoch eine bösartige ZIP-Datei namens „VideoDreamAI.zip“. In der Letzteren befindet sich eine trügerische Datei namens „Video Dream MachineAI.mp4.exe“, die den Infektionsprozess auslöst, indem sie eine legitime ausführbare Datei startet, die mit ByteDance’s Video-Editor verknüpft ist. Diese C++-Executable startet einen .NET-basierten Loader, CapCutLoader, der schließlich eine Python-Nutzlast von einem Remote-Server lädt. Die Python-Nutzlast setzt dann Noodlophile Stealer ein. In einigen Fällen ist der Stealer mit einem RAT, wie XWorm, gebündelt, wodurch Angreifern der dauerhafte Zugriff auf infizierte Systeme ermöglicht wird.

Um zunehmend fortschrittlichen Bedrohungen, die durch den böswilligen Einsatz von KI-Technologien angetrieben werden, einen Schritt voraus zu sein, nutzen Verteidiger die Macht der GenAI, um den großflächigen Schutz vor Cyberangriffen zu stärken und Angreifer zu übertreffen. SOC Prime Platform bietet eine Mischung aus modernsten Technologien unterstützt durch KI, Automatisierung und Echtzeit-Bedrohungsinformationen, um Organisationen zu ermöglichen, Cyber-Bedrohungen, egal wie ausgeklügelt sie sind, zu übertreffen.