Détection du Voleur Noodlophile : Nouveau Malware Distribué via de Faux Outils de Génération de Vidéos IA
Table des matières :
Le paysage des cybermenaces en constante évolution voit l’émergence de malwares variantes, alimentées par l’adoption généralisée de l’IA et son exploitation à des fins offensives. Les défenseurs ont récemment observé des adversaires utilisant de faux outils alimentés par l’IA pour inciter les utilisateurs à télécharger un nouveau malware voleur d’informations connu sous le nom de Noodlophile. Le malware est souvent promu via de faux groupes Facebook et des publications virales, ciblant déjà plus de 62 000 utilisateurs.
Détecter le Noodlophile Stealer
Alors que l’adoption rapide des technologies IA stimule le développement de solutions de cybersécurité de prochaine génération, elle introduit également des risques significatifs, car les adversaires adoptent ces outils aussi rapidement que les défenseurs. Selon les prévisions de Gartner d’ici 2027, plus de 40 % des violations de données liées à l’IA résulteront de l’utilisation transfrontalière inappropriée de l’IA générative (GenAI). L’émergence d’un nouveau malware nommé Noodlophile Stealer, diffusé via de faux outils de génération d’IA et conçu pour voler des données sensibles à partir de systèmes compromis, attire l’attention significative des défenseurs de la cybersécurité.
Inscrivez-vous à la plateforme SOC Prime pour rester en avance sur les menaces émergentes, comme le Noodlophile Stealer récemment découvert, qui a déjà ciblé des milliers d’utilisateurs Facebook. Cliquez sur le Explorer les Détections bouton pour accéder à une collection complète de règles Sigma pour la détection de Noodlophile Stealer.
Tous les algorithmes de détection peuvent être utilisés sur plusieurs solutions SIEM, EDR et Data Lake, et sont alignés avec MITRE ATT&CK® pour une recherche de menaces rationalisée. De plus, chaque règle Sigmac sans distinction de fournisseur est enrichie de métadonnées exploitables, telles que des liens CTI, des chronologies d’attaques, des configurations d’audit, et plus de contexte sur les cybermenaces.
Les ingénieurs en sécurité peuvent également compter sur Uncoder AI, alimenté par Llama 70B et enrichi de capacités IA avancées pour l’ingénierie de détection, avec toutes les fonctionnalités IA désormais accessibles gratuitement. Créez du code de détection de haute qualité à partir de rapports de menaces bruts, activez la conversion rapide de l’IOC en requêtes de chasse personnalisées, prédisez des balises ATT&CK, optimisez le code de requête avec des recommandations IA, bénéficiez de capacités de traduction IA assistée multiplateforme, et plus encore – tout avec une solution unique.
Analyse de Noodlophile Stealer
Selon un rapport récent de Shmuel Uzan, chercheur chez Morphisec, au lieu d’utiliser des techniques d’hameçonnage traditionnelles ou des sites de logiciels piratés, les adversaires créent des sites web réalistes à thème IA promus via des groupes Facebook apparemment légitimes et des campagnes sur les réseaux sociaux virales.
Certaines publications sur ces pages ont recueilli plus de 62 000 vues, suggérant que la campagne cible spécifiquement les utilisateurs à la recherche d’outils d’édition vidéo et image basés sur l’IA. Plus précisément, ces pages frauduleuses incluent Luma Dreammachine AI, Luma Dreammachine, et gratistuslibros. Les utilisateurs dirigés vers les publications sur les réseaux sociaux sont incités à cliquer sur les liens promouvant des services de création de contenu basés sur l’IA, tels que des vidéos, logos, images et sites web.
Les vidéos générées par l’IA diffusent des malwares déguisés en sortie IA, qui sont livrés après que les utilisateurs ont téléchargé leurs images pour traitement. Noodlophile Stealer, une nouvelle addition à l’écosystème des malwares, combine le vol de crédentiels de navigateur, l’exfiltration de portefeuilles, et le déploiement optionnel d’accès à distance. Contrairement aux anciennes campagnes de malwares, celle-ci exploite l’IA comme tactique d’ingénierie sociale, ciblant les créateurs et petites entreprises explorant les outils IA. Les utilisateurs téléchargent à leur insu une charge malveillante qui inclut un nouvel infostealer découvert. Noodlophile Stealer communique avec les attaquants via un bot Telegram pour l’exfiltration, et il est commercialisé sur les marchés de la cybercriminalité dans le cadre de MaaS, aux côtés d’outils de prise de contrôle de comptes. Le développeur, probablement du Vietnam, a été vu en train de promouvoir cette nouvelle méthode sur les réseaux sociaux.
Après que les utilisateurs ont téléchargé leurs images ou vidéos sur les faux sites, ils sont incités à télécharger le supposé contenu généré par l’IA, mais reçoivent à la place un fichier ZIP malveillant nommé « VideoDreamAI.zip ». À l’intérieur de celui-ci se trouve un fichier trompeur nommé « Video Dream MachineAI.mp4.exe », qui déclenche le processus d’infection en exécutant un exécutable légitime lié à l’éditeur vidéo de ByteDance. Cet exécutable en C++ lance un chargeur basé sur .NET, CapCutLoader, qui charge finalement une charge utile Python à partir d’un serveur distant. La charge utile Python déploie ensuite le Noodlophile Stealer. Dans certains cas, le stealer est associé à un RAT, tel que XWorm, offrant aux attaquants un accès persistant aux systèmes infectés.
Pour rester en avance sur les menaces de plus en plus avancées alimentées par une utilisation malveillante des technologies IA, les défenseurs exploitent la puissance de GenAI pour améliorer la protection de cybersécurité à grande échelle et dépasser les attaquants. La plateforme SOC Prime offre une fusion de technologies de pointe appuyées par l’IA, l’automatisation, et l’intelligence en temps réel sur les menaces pour permettre aux organisations d’exceller face aux cybermenaces, quelle que soit leur sophistication.
