Einführung
Menschen werden dazu verleitet, gefälschte KI-Tools herunterzuladen, um die Informationsdiebstahl-Malware Noodlophile zu verbreiten. Diese Malware kann Browser-Anmeldedaten, Informationen über Kryptowährungs-Wallets und weitere sensible Daten stehlen, wie ein Sicherheitsforscher berichtet.
Die Vorgehensweise der Angreifer
Shmuel Uzan von Morphisec erklärte in einem Bericht:
„Anstelle traditioneller Phishing- oder gehackter Software-Seiten schaffen diese Angreifer überzeugende Plattformen mit KI-Themen – oft beworben über legitime Facebook-Gruppen und virale Social-Media-Kampagnen.“
Die Angreifer entwerfen gefälschte Plattformen, die dann in Facebook-Gruppen oder durch Social-Media-Kampagnen beworben werden.
Obwohl sie legitim erscheinen, dienen sie lediglich als Vorwand, um die Nutzer dazu zu bringen, die Malware herunterzuladen, die sich hinter vermeintlichen KI-Tools verbirgt. Solche Facebook-Beiträge haben bereits bis zu 62.000 Aufrufe von einem einzigen Post erreicht.
Gefälschte Social-Media-Seiten
Zu den identifizierten gefälschten Social-Media-Seiten gehören:
- Luma Dreammachine AI
- Luma Dreammaching
- gratistuslibros
Der Download-Prozess
Wenn ein Nutzer auf einen Post klickt, wird er zu scheinbar kostenlosen KI-Bearbeitungstools geleitet und dazu aufgefordert, ein Bild oder Video hochzuladen. Anschließend wird er gebeten, eine Datei herunterzuladen, die wie das KI-Tool aussieht, tatsächlich jedoch ein bösartiges ZIP-Archiv mit dem Namen VideoDreamAI.zip ist.
Inhalt der Malware
Diese Datei enthält eine Python-Binärdatei, die den Weg für die Bereitstellung des Noodlophile-Stealers ebnet. In einigen Fällen wurde der Datenstehler auch zusammen mit Remote-Access-Trojanern wie XWorm gebündelt, um mehr Kontrolle über die Maschine und die Daten der Opfer zu erlangen.
Herkunft der Malware
Laut einem GitHub-Profil, das sich als „leidenschaftlicher Malware-Entwickler aus Vietnam“ ausgibt, wird die Noodlophile-Malware als von vietnamesischer Herkunft identifiziert. Behörden haben erklärt, dass Cyberkriminalität insbesondere in Südostasien verbreitet ist und es eine Vorgeschichte der Verbreitung von Stealer-Software speziell über die Facebook-Plattform gibt.
Bearbeitet von Stacy Elliott.
