Rilevamento di Noodlophile Stealer: Nuovo Malware Distribuito Attraverso Falsi Strumenti di Generazione Video AI
Indice:
Il panorama delle minacce informatiche in continua evoluzione sta vedendo l’emergere di nuove varianti di malware guidate dalla diffusa adozione dell’AI e dal suo sfruttamento per scopi offensivi. I difensori hanno recentemente osservato avversari che armano falsi strumenti basati sull’AI per ingannare gli utenti a scaricare un nuovo malware per il furto di informazioni conosciuto come Noodlophile. Il malware è spesso promosso attraverso falsi gruppi su Facebook e post virali, colpendo già oltre 62.000 utenti.
Rileva Noodlophile Stealer
Mentre la rapida adozione delle tecnologie AI sta guidando lo sviluppo di soluzioni di cybersecurity di nuova generazione, introduce anche rischi significativi, poiché gli avversari adottano questi strumenti con la stessa rapidità dei difensori. Gartner prevede che entro il 2027, oltre il 40% delle violazioni dei dati correlate all’AI deriverà dall’uso improprio transfrontaliero dell’AI generativa (GenAI). L’emergere del nuovo malware chiamato Noodlophile Stealer, diffuso tramite falsi strumenti di generazione AI e progettato per rubare dati sensibili da sistemi compromessi, sta attirando l’attenzione significativa dei difensori di cybersecurity.
Iscriviti alla piattaforma SOC Prime per rimanere avanti rispetto alle minacce emergenti, come il nuovo Noodlophile Stealer, che ha già colpito migliaia di utenti di Facebook. Clicca sul pulsante Esplora le Rilevazioni per accedere a una raccolta completa di regole Sigma per la rilevazione di Noodlophile Stealer.
Tutti gli algoritmi di rilevazione possono essere utilizzati su più soluzioni SIEM, EDR e Data Lake, e sono allineati con MITRE ATT&CK® per una ricerca delle minacce semplificata. Inoltre, ogni regola Sigmac indipendente dal fornitore è arricchita con metadati azionabili, come link CTI, cronologia degli attacchi, configurazioni di audit e contesto di minaccia informatica.
Gli ingegneri della sicurezza possono anche fare affidamento su Uncoder AI, alimentato da Llama 70B e arricchito con funzionalità AI avanzate per l’ingegneria delle rilevazioni, con tutte le funzionalità AI ora accessibili gratuitamente. Crea codice di rilevazione di alta qualità da rapporti di minacce grezze, abilita la conversione rapida di IOC in query di ricerca personalizzate, prevedi i tag ATT&CK, ottimizza il codice delle query con raccomandazioni AI, ottieni capacità di traduzione cross-platform assistite dall’AI, e altro ancora, tutto con una singola soluzione.
Analisi di Noodlophile Stealer
Secondo un recente rapporto del ricercatore di Morphisec Shmuel Uzan, invece di utilizzare tattiche di phishing tradizionale o siti di software piratati, gli avversari stanno creando siti web realistici a tema AI promossi tramite gruppi Facebook apparentemente legittimi e campagne sui social media virali.
Alcuni post su queste pagine hanno ottenuto oltre 62.000 visualizzazioni, suggerendo che la campagna bersaglia specificamente gli utenti in cerca di strumenti di editing video e immagine basati su AI. Più specificamente, queste pagine fraudolente includono Luma Dreammachine AI, Luma Dreammachine e gratistuslibros. Gli utenti indirizzati ai post sui social media sono invitati a cliccare sui link che promuovono servizi di creazione di contenuti basati su AI, come video, loghi, immagini e siti web.
I falsi video generati da AI distribuiscono malware camuffato da output AI, consegnato dopo che gli utenti caricano le loro immagini per la elaborazione. Noodlophile Stealer, una nuova aggiunta all’ecosistema dei malware, combina il furto di credenziali del browser, l’esfiltrazione di wallet e l’eventuale distribuzione di accesso remoto opzionale. A differenza delle campagne malware più vecchie, questa sfrutta l’AI come tattica di ingegneria sociale, mirando a creatori e piccole imprese che esplorano strumenti AI. Gli utenti scaricano inconsapevolmente un carico maligno che include un infostealer di nuova scoperta. Noodlophile Stealer comunica con gli aggressori tramite un bot Telegram per l’esfiltrazione ed è commercializzato nei mercati di cybercrimine come parte di MaaS, accanto a strumenti per la presa di controllo degli account. Lo sviluppatore, probabilmente proveniente dal Vietnam, è stato visto promuovere questo nuovo metodo sui social media.
Dopo che gli utenti caricano le loro immagini o i loro prompt video sui siti falsi, vengono invitati a scaricare il presunto contenuto generato da AI, ma invece ricevono un file ZIP dannoso chiamato ‘VideoDreamAI.zip.’ All’interno di quest’ultimo si trova un file ingannevole chiamato ‘Video Dream MachineAI.mp4.exe,’ che avvia il processo di infezione eseguendo un eseguibile legittimo legato al video editor di ByteDance. Questo eseguibile in C++ avvia un loader basato su .NET, CapCutLoader, che alla fine carica un payload Python da un server remoto. Il payload Python distribuisce quindi Noodlophile Stealer. In alcuni casi, il ladro è fornito insieme a un RAT, come XWorm, fornendo agli aggressori accesso persistente ai sistemi infetti.
Per rimanere avanti rispetto alle minacce sempre più avanzate guidate dall’uso malevolo delle tecnologie AI, i difensori stanno sfruttando la potenza del GenAI per migliorare la protezione sulla larga scala delle cybersecurity e superare gli aggressori. La piattaforma SOC Prime offre una fusione di tecnologie avanzate supportate da AI, automazione e informazioni sulle minacce in tempo reale per consentire alle organizzazioni di affrontare le minacce informatiche, indipendentemente dalla loro sofisticazione.
