ІБ-фахівці Morphisec виявили, що шахраї використовують фейкові АІ-інструменти, щоб спонукати користувачів завантажувати інфостилер Noodlophile.

За словами дослідників, сайти з назвами на кшталт Dream Machine активно рекламуються в соціальних мережах, і шахраї видають їх за просунуті АІ-інструменти, які генерують відео на основі завантажених файлів. Такі повідомлення збирають понад 62 000 переглядів на один пост, і метою цієї кампанії є користувачі, які шукають ШІ-інструменти для редагування відео та зображень.

Коли жертва відвідує фальшивий ШІ-сайт і завантажує свої файли для генерації відео, у відповідь вона отримує ZIP-архів, який нібито містить готовий ролик, згенерований ШІ.

Насправді цей архів містить виконуваний файл із назвою (Video Dream MachineAI.mp4.exe), яка вводить в оману, і приховану папку з різними файлами, необхідними для наступних етапів атаки. Якщо у користувача Windows вимкнено відображення розширень файлів, все виглядає як звичайний відеофайл у форматі MP4.

“Файл Video Dream MachineAI.mp4.exe являє собою 32-бітний додаток, написаний на C++ і підписаний за допомогою сертифіката, створеного через Winauth, – пояснює Morphisec. – Незважаючи на назву, що вводить в оману (передбачає наявність відео у форматі .mp4), цей бінарник насправді являє собою модифіковану версію CapCut, легітимного інструменту для редагування відео (версія 445.0). Така оманлива назва і сертифікат допомагають йому уникнути підозр з боку користувачів і ухилитися від деяких захисних рішень”.

Відкриття підробленого файлу MP4 призводить до запуску низки виконуваних файлів, які в підсумку запускають batch-скрипт Document.docx/install.bat.

Цей скрипт використовує легітимний Windows-інструмент certutil.exe для декодування Base64 і вилучення захищеного паролем RAR-архіву, що видається за PDF-документ. Разом із цим він додає в реєстр новий ключ для закріплення в системі.

Після скрипт запускає файл srchost.exe, який виконує обфусцирований Python-скрипт (randomuser2025.txt), отриманий із жорстко закодованої адреси віддаленого сервера. У результаті в пам’яті виконується стилер Noodlophile.

Основною метою стилера Noodlophile є дані, що зберігаються в браузерах, включно з обліковими даними, файлами cookie, сесій, токенами і даними криптовалютних гаманців.

Усі викрадені дані передаються Telegram-боту, який виконує роль прихованого керуючого сервера, надаючи зловмисникам доступ до викраденої інформації в режимі реального часу.

Зазначається, що в деяких випадках Noodlophile поширюється разом із трояном віддаленого доступу XWorm, що надає зловмисникам ширші можливості для крадіжки даних.