Aktor ancaman telah diamati memanfaatkan alat buatan kecerdasan buatan (AI) sebagai umpan untuk memikat pengguna agar mengunduh malware pencuri informasi yang dijuluki Noodlophile.
“Alih-alih mengandalkan situs perangkat lunak phishing atau retak tradisional, mereka membangun platform bertema AI yang meyakinkan-sering diiklankan melalui grup Facebook yang tampak sah dan kampanye media sosial viral,” kata peneliti Morphisec Shmuel Uzan dalam sebuah laporan yang diterbitkan minggu lalu.
Posting yang dibagikan pada halaman -halaman ini telah ditemukan untuk menarik lebih dari 62.000 tampilan pada satu posting, menunjukkan bahwa pengguna yang mencari alat AI untuk pengeditan video dan gambar adalah target kampanye ini. Beberapa halaman media sosial palsu yang diidentifikasi termasuk Luma Dreammachine AL, Luma Dreammachine, dan Fratistuslibros.
Pengguna yang mendarat di posting media sosial didesak untuk mengklik tautan yang mengiklankan layanan pembuatan konten bertenaga AI, termasuk video, logo, gambar, dan bahkan situs web. Salah satu situs web palsu menyamar sebagai Capcut AI, menawarkan kepada pengguna “editor video all-in-one dengan fitur AI baru.”
Setelah pengguna yang tidak curiga mengunggah gambar atau video mereka di situs-situs ini, mereka kemudian diminta untuk mengunduh konten yang dihasilkan AI yang seharusnya, pada titik mana arsip zip jahat (“videodreamai.zip”) diunduh sebagai gantinya.
Hadir dalam file tersebut adalah file yang menipu bernama “Video Dream Machineai.mp4.exe” yang memulai rantai infeksi dengan meluncurkan biner yang sah yang terkait dengan editor video Bytedance (“Capcut.exe”). Eksekusi berbasis C ++ ini digunakan untuk menjalankan loader berbasis .NET bernama CapCutloader yang, pada gilirannya, pada akhirnya memuat muatan Python (“srchost.exe”) dari server jarak jauh.
Biner Python membuka jalan bagi penyebaran pencuri noodlophile, yang datang dengan kemampuan untuk memanen kredensial browser, informasi dompet cryptocurrency, dan data sensitif lainnya. Contoh tertentu juga telah membundel pencuri dengan Trojan akses jarak jauh seperti Xworm untuk akses yang mengakar ke host yang terinfeksi.
Pengembang Noodlophile dinilai berasal dari Vietnam, yang, pada profil GitHub mereka, mengklaim sebagai “pengembang malware yang bersemangat dari Vietnam.” Akun ini dibuat pada 16 Maret 2025. Perlu menunjukkan bahwa Bangsa Asia Tenggara adalah rumah bagi ekosistem kejahatan dunia maya yang berkembang yang memiliki sejarah mendistribusikan berbagai keluarga pencuri malware yang menargetkan Facebook.
Aktor buruk yang mempersenjatai kepentingan publik dalam teknologi AI untuk keuntungan mereka bukanlah fenomena baru. Pada tahun 2023, Meta mengatakan mereka menurunkan lebih dari 1.000 URL berbahaya dari dibagikan di seluruh layanannya yang ditemukan memanfaatkan chatgpt Openai sebagai umpan untuk menyebarkan sekitar 10 keluarga malware sejak Maret 2023.
Pengungkapan ini datang ketika Cyfirma merinci family stealer malware berbasis NET lainnya yang diberi kode nama Pupkinstealer yang dapat mencuri berbagai data dari sistem Windows yang dikompromikan dan mengeksfiltrasi ke bot telegram yang dikendalikan oleh penyerang.
“Tanpa pertahanan anti-analisis spesifik atau mekanisme kegigihan, pupkinstealer tergantung pada eksekusi langsung dan perilaku profil rendah untuk menghindari deteksi selama operasinya,” kata perusahaan cybersecurity. “PupkinStealer mencontohkan bentuk malware mencuri data yang sederhana namun efektif yang memanfaatkan perilaku sistem umum dan platform yang banyak digunakan untuk mengeluarkan informasi sensitif.”
