Cercetătorii în securitate avertizează asupra unei noi campanii de atacuri cibernetice, în care utilizatorii sunt ademeniți să descarce malware prin intermediul unor platforme false de generare AI. Potrivit unui raport publicat de Shmuel Uzan, cercetător la Morphisec, victimele sunt invitate să încarce imagini sau clipuri, în ideea că vor primi conținut generat cu inteligență artificială, dar în schimb descarcă fișiere care instalează viruși de tip infostealer precum Noodlophile sau XWorm.
Atacurile încep de regulă prin reclame sau postări în grupuri de Facebook, unde se promovează instrumente AI gratuite. Aceste grupuri au mii de membri, iar unele postări ajung la peste 60.000 de vizualizări. Site-urile false imită interfețele unor platforme cunoscute, precum Luma Dream Machine sau CapCut, pentru a crea un sentiment de legitimitate.
După ce utilizatorii încarcă fișierele proprii și accesează opțiunea de descărcare, primesc un fișier ZIP numit VideoDreamAI.zip, care conține executabile și scripturi malițioase. Acestea rulează un loader .NET care descarcă un fișier numit srchost.exe, un payload scris în Python care instalează un infostealer. Acesta fură date precum parole salvate în browser, cookie-uri, portofele de criptomonede și tokenuri de autentificare, trimițându-le atacatorilor prin Telegram.
Cercetarea arată că site-urile frauduloase promit inclusiv crearea de site-uri AI sau mockup-uri, sugerând că ținta principală o reprezintă IMM-urile care caută soluții gratuite pentru marketing. Totuși, natura abordării – prin grupuri de Facebook – indică faptul că atacatorii nu vizează corporații, ci mai degrabă utilizatori obișnuiți și afaceri mici.
Ceea ce diferențiază această campanie este folosirea popularității AI ca metodă de manipulare. Dacă până acum malware-ul era ascuns în aplicații piratate sau cheat-uri de jocuri, acum se adresează unei audiențe mai naive, interesate de eficientizarea muncii prin instrumente AI.
Noodlophile este oferit pe forumuri de criminalitate cibernetică ca parte dintr-un pachet malware-as-a-service. Uzan a identificat dezvoltatorul malware-ului ca fiind foarte probabil din Vietnam, pe baza limbajului utilizat și a prezenței pe rețelele sociale, unde figurează ca „dezvoltator pasionat de malware” și vânzător de unelte de hacking.
.jpg "3 premiere romantice la DIVA (15–19 septembrie): „Desert de toamnă”, „La poli opuși” și „Note de toamnă”")
