Detecção do Stealer Noodlophile: Novo Malware Distribuído Através de Ferramentas Falsas de Geração de Vídeo por IA
Índice:
O cenário de ameaças cibernéticas em constante mudança está vendo a emergência de novas variantes de malware impulsionadas pela adoção generalizada da IA e sua exploração para fins ofensivos. Os defensores observaram recentemente adversários armando ferramentas falsas com IA para atrair usuários a baixar um novo malware de roubo de informações conhecido como Noodlophile. O malware é frequentemente promovido por meio de grupos falsos no Facebook e postagens virais, já visando mais de 62.000+ usuários.
Detectar Noodlophile Stealer
Enquanto a rápida adoção de tecnologias de IA está impulsionando o desenvolvimento de soluções de cibersegurança de próxima geração, também introduz riscos significativos, pois os adversários estão adotando essas ferramentas tão rapidamente quanto os defensores. A Gartner prevê que até 2027, mais de 40% das violações de dados relacionadas à IA resultarão do uso inadequado transfronteiriço de IA gerativa (GenAI). A emergência de um novo malware chamado Noodlophile Stealer, disseminado por meio de ferramentas falsas de geração de IA e projetado para roubar dados sensíveis de sistemas comprometidos, está atraindo atenção significativa dos defensores da cibersegurança.
Cadastre-se na plataforma SOC Prime para ficar à frente das ameaças emergentes, como o recém-descoberto Noodlophile Stealer, que já visou milhares de usuários do Facebook. Clique no Explorar Detecções botão para acessar uma coleção abrangente de regras Sigma para detecção do Noodlophile Stealer.
Todos os algoritmos de detecção podem ser usados em várias soluções SIEM, EDR e Data Lake, e estão alinhados com MITRE ATT&CK® para pesquisa de ameaças simplificada. Além disso, cada regra Sigmac agnóstica de fornecedor é enriquecida com metadados acionáveis, como links CTI, cronogramas de ataque, configurações de auditoria e mais contexto de ameaças cibernéticas.
Os engenheiros de segurança também podem contar com Uncoder AI, alimentado por Llama 70B e enriquecido com capacidades avançadas de IA para engenharia de detecção, com todos os recursos de IA agora acessíveis gratuitamente. Crie código de detecção de alta qualidade a partir de relatórios de ameaças brutos, habilite a conversão rápida de IOC em consultas de caça personalizadas, preveja tags ATT&CK, otimize o código de consulta com recomendações de IA, aproveite as capacidades de tradução assistida por IA em várias plataformas e muito mais – tudo com uma única solução.
Análise do Noodlophile Stealer
De acordo com um relatório recente do pesquisador da Morphisec Shmuel Uzan, em vez de usar táticas tradicionais de phishing ou sites de software pirata, os adversários estão criando sites temáticos de IA realistas promovidos por meio de grupos aparentemente legítimos no Facebook e campanhas virais nas redes sociais.
Alguns posts nessas páginas alcançaram mais de 62.000 visualizações, sugerindo que a campanha visa especificamente usuários que buscam ferramentas de edição de vídeo e imagem baseadas em IA. Mais especificamente, essas páginas fraudulentas incluem Luma Dreammachine AI, Luma Dreammachine e gratistuslibros. Os usuários direcionados às postagens nas redes sociais são solicitados a clicar nos links que promovem serviços de criação de conteúdo baseado em IA, como vídeos, logos, imagens e sites.
Os vídeos falsamente gerados por IA distribuem malware disfarçado como saída de IA, que é entregue após os usuários carregarem suas imagens para processamento. O Noodlophile Stealer, uma nova adição ao ecossistema de malware, combina roubo de credenciais de navegador, exfiltração de carteiras e implantação opcional de acesso remoto. Ao contrário de campanhas de malware mais antigas, esta explora a IA como uma tática de engenharia social, visando criadores e pequenas empresas que exploram ferramentas de IA. Os usuários baixam sem saber um payload malicioso que inclui um novo infostealer descoberto. O Noodlophile Stealer se comunica com atacantes por meio de um bot do Telegram para exfiltração e é comercializado em marketplaces de cibercrime como parte de MaaS, juntamente com ferramentas de tomada de contas. O desenvolvedor, provavelmente do Vietnã, foi visto promovendo este novo método nas redes sociais.
Após os usuários carregarem seus prompts de imagem ou vídeo nos sites falsos, eles são solicitados a baixar o suposto conteúdo gerado por IA, mas em vez disso, recebem um arquivo ZIP malicioso chamado “VideoDreamAI.zip.” Dentro deste, há um arquivo enganoso chamado “Video Dream MachineAI.mp4.exe,” que desencadeia o processo de infecção executando um executável legítimo vinculado ao editor de vídeo da ByteDance. Este executável C++ lança um carregador baseado em .NET, CapCutLoader, que eventualmente carrega um payload Python de um servidor remoto. O payload Python então implanta o Noodlophile Stealer. Em alguns casos, o stealer é agrupado com um RAT, como XWorm, fornecendo aos atacantes acesso persistente aos sistemas infectados.
Para ficar à frente de ameaças cada vez mais avançadas impulsionadas pelo uso malicioso de tecnologias de IA, os defensores estão aproveitando o poder do GenAI para melhorar a proteção cibernética em larga escala e superar os atacantes. A plataforma SOC Prime oferece uma fusão de tecnologias de ponta apoiadas por IA, automação e inteligência de ameaças em tempo real para permitir que as organizações superem as ameaças cibernéticas, independentemente de sua sofisticação.
