Introducción
Las personas están siendo engañadas para descargar herramientas de IA fraudulentas que están diseñadas para difundir el malware robador de información Noodlophile. Este malware tiene la capacidad de obtener credenciales de navegadores, información de carteras de criptomonedas y otros datos sensibles, según un investigador de seguridad.
Metodología de los atacantes
Shmuel Uzan, investigador de Morphisec, señaló en un informe:
«En lugar de depender del phishing tradicional o de sitios de software pirateado, construyen plataformas convincentes con temática de IA, a menudo publicitadas a través de grupos de Facebook que parecen legítimos y campañas virales en redes sociales.»
Los atacantes crean plataformas que son engañosamente plausibles con temática de IA, las cuales pueden ser promocionadas en grupos de Facebook o mediante campañas en redes sociales. Aunque estas pueden parecer auténticas, en realidad son una fachada para inducir a las personas a descargar el malware oculto bajo la apariencia de herramientas de IA.
Impacto y difusión
Este tipo de publicaciones, que se comparten en Facebook, han alcanzado hasta 62,000 visualizaciones en una sola publicación. Algunas de las páginas falsas en redes sociales identificadas son: Luma Dreammachine AI, Luma Dreammaching y gratistuslibros. Una vez que un usuario hace clic en una publicación, es dirigido a herramientas de edición de IA que parecen ser gratuitas y se le solicita que suba su imagen o video.
Descarga del malware
Posteriormente, se les pide que descarguen lo que aparenta ser una herramienta de IA, pero en realidad es un archivo ZIP malicioso llamado VideoDreamAI.zip. Esto conduce a un ejecutable de Python que allana el camino para desplegar el Noodlophile Stealer. En algunos casos, también se ha observado que el robador de datos viene empaquetado junto con troyanos de acceso remoto como XWorm, lo que proporciona un mayor control sobre la máquina y los datos de la víctima.
Origen del malware
Se estima que el malware Noodlophile tiene origen vietnamita, según un perfil de GitHub que se presenta como el de «un apasionado desarrollador de malware de Vietnam.» Las autoridades han indicado que el ciberdelito es especialmente prevalente en el sudeste asiático y existe un historial de distribución de software robador que utiliza específicamente la plataforma de Facebook.
