Detección de Noodlophile Stealer: Nuevo Malware Distribuido a Través de Herramientas Falsas de Generación de Video con IA

El panorama de amenazas cibernéticas en constante cambio está viendo la aparición de nuevas variantes de malware impulsadas por la adopción generalizada de la IA y su explotación con fines ofensivos. Los defensores han observado recientemente a adversarios armando herramientas falsas impulsadas por IA para atraer a los usuarios a descargar un nuevo malware de robo de información conocido como Noodlophile. El malware a menudo se promociona a través de grupos falsos de Facebook y publicaciones virales, ya apuntando a más de 62,000+ usuarios. 

Detectar Noodlophile Stealer

Si bien la rápida adopción de tecnologías de IA está impulsando el desarrollo de soluciones de ciberseguridad de próxima generación, también introduce riesgos significativos, ya que los adversarios están adoptando estas herramientas tan rápido como los defensores. Gartner pronostica que para 2027, más del 40% de las brechas de datos relacionadas con IA resultarán del uso indebido transfronterizo de IA generativa (GenAI). El surgimiento del nuevo malware llamado Noodlophile Stealer, distribuido a través de herramientas de generación de IA falsas y diseñado para robar datos sensibles de sistemas comprometidos, está atrayendo atención significativa de los defensores de ciberseguridad. 

Regístrate en la Plataforma SOC Prime para mantenerse a la vanguardia de las amenazas emergentes, como el recién descubierto Noodlophile Stealer, que ya ha apuntado a miles de usuarios de Facebook. Haga clic en el Explorar Detecciones botón para acceder a una colección completa de reglas Sigma para la detección de Noodlophile Stealer.

Explorar Detecciones

Todos los algoritmos de detección pueden utilizarse en múltiples soluciones SIEM, EDR y Data Lake, y están alineados con MITRE ATT&CK® para una investigación de amenazas simplificada. Además, cada regla Sigmac, independiente del proveedor, está enriquecida con metadatos procesables, como enlaces CTI, cronologías de ataques, configuraciones de auditoría y más contexto de amenazas cibernéticas. 

Los ingenieros de seguridad también pueden confiar en Uncoder AI, potenciado por Llama 70B y enriquecido con capacidades avanzadas de IA para ingeniería de detección, con todas las funciones de IA ahora accesibles de forma gratuita. Cree código de detección de alta calidad a partir de informes de amenazas en bruto, habilite la conversión rápida de IOC en consultas de caza personalizadas, prediga etiquetas ATT&CK, optimice el código de consulta con recomendaciones de IA, obtenga capacidades de traducción multiplataforma asistida por IA y más, todo con una sola solución. 

Análisis de Noodlophile Stealer

Según un informe reciente del investigador de Morphisec, Shmuel Uzan, en lugar de utilizar tácticas tradicionales de phishing o sitios de software pirateados, los adversarios están creando sitios web realistas con temática de IA promocionados a través de grupos de Facebook que parecen legítimos y campañas virales en redes sociales.

Algunas publicaciones en estas páginas han acumulado más de 62,000 vistas, lo que sugiere que la campaña apunta específicamente a usuarios que buscan herramientas de edición de video e imagen basadas en IA. Más específicamente, estas páginas fraudulentas incluyen Luma Dreammachine AI, Luma Dreammachine y gratistuslibros. A los usuarios dirigidos a las publicaciones en redes sociales se les pide hacer clic en los enlaces que promueven servicios de creación de contenido basado en IA, como videos, logotipos, imágenes y sitios web. 

Los videos falsos generados por IA distribuyen malware disfrazado como salida de IA, el cual se entrega después de que los usuarios cargan sus imágenes para su procesamiento. Noodlophile Stealer, una nueva adición al ecosistema de malware, combina el robo de credenciales del navegador, la exfiltración de carteras y la implementación opcional de acceso remoto. A diferencia de campañas de malware anteriores, esta explota la IA como táctica de ingeniería social, apuntando a creadores y pequeñas empresas que exploran herramientas de IA. Los usuarios descargan sin saberlo una carga maliciosa que incluye un ladrón de información recién descubierto. Noodlophile Stealer se comunica con los atacantes a través de un bot de Telegram para la exfiltración, y se comercializa en mercados cibercriminales como parte de MaaS, junto con herramientas de apropiación de cuentas. El desarrollador, probablemente de Vietnam, fue visto promocionando este nuevo método en redes sociales.

Después de que los usuarios suben su imagen o video en los sitios falsos, se les solicita que descarguen el supuesto contenido generado por IA, pero en su lugar, reciben un archivo ZIP malicioso llamado «VideoDreamAI.zip». Dentro de este último hay un archivo engañoso llamado «Video Dream MachineAI.mp4.exe», que desencadena el proceso de infección al ejecutar un ejecutable legítimo vinculado al editor de video de ByteDance. Este ejecutable en C++ lanza un cargador basado en .NET, CapCutLoader, que eventualmente carga una carga útil de Python desde un servidor remoto. La carga útil de Python entonces despliega Noodlophile Stealer. En algunos casos, el ladrón se acompaña de un RAT, como XWorm, proporcionando a los atacantes un acceso persistente a los sistemas infectados.

Para mantenerse al día con las amenazas cada vez más avanzadas impulsadas por el uso malicioso de tecnologías de IA, los defensores están aprovechando el poder de GenAI para mejorar la protección cibernética a gran escala y superar a los atacantes. La Plataforma SOC Prime ofrece una fusión de tecnologías de vanguardia respaldadas por IA, automatización e inteligencia de amenazas en tiempo real para permitir a las organizaciones superar las ciberamenazas, sin importar su sofisticación.