Incidentes Asociados
Ciberdelincuentes han desatado una nueva campaña de malware que utiliza plataformas falsas de generación de videos con IA como señuelo.
Conocido como Noodlophile Stealer, este ladrón de información, previamente indocumentado, se dirige a usuarios desprevenidos explotando su entusiasmo por las herramientas de creación de contenido basadas en IA.
Disfrazadas de servicios legítimos que prometen transformar imágenes en videos, estas plataformas fraudulentas —a menudo promocionadas a través de campañas virales en redes sociales y grupos de Facebook con miles de visitas— engañan a los usuarios para que descarguen cargas maliciosas que recopilan credenciales del navegador, monederos de criptomonedas y otros datos confidenciales.
En muchos casos, el malware también implementa un troyano de acceso remoto (RAT) como XWorm, lo que otorga a los atacantes un mayor control sobre los sistemas comprometidos.
Ciberdelincuentes aprovechan el entusiasmo por la IA
La cadena de ataque comienza cuando los usuarios, atraídos por anuncios en plataformas que imitan herramientas populares como Luma Dream Machine o CapCut, suben imágenes o vídeos personales a estos sitios web falsos.
Tras una pantalla de carga engañosa, se les pide a las víctimas que descarguen su contenido "procesado", que en realidad es un archivo ZIP malicioso como VideoDreamAI.zip.
En su interior, un ejecutable engañoso llamado VideoDreamAI.mp4.exe se hace pasar por un archivo de vídeo mediante una astuta manipulación del nombre de archivo.
Al ejecutarse, este binario de C++ de 32 bits, reutilizado a partir de una versión legítima de CapCut, inicia un proceso de infección de varias etapas.
Lanza CapCut.exe, un contenedor de C++ de 140 MB que integra código malicioso .NET, diseñado para evadir los escáneres estáticos gracias a su gran tamaño y estructura modular.
Según el Informe de Morphisec, este cargador verifica la conectividad a internet haciendo ping a Google hasta 10 veces, renombra archivos ocultos como Document.docx a install.bat y desencadena nuevas etapas de infección que involucran archivos codificados en Base64 y cargas útiles de Python obtenidas de servidores remotos.
La carga útil final, Noodlophile Stealer, exfiltra datos a través de bots de Telegram, mientras que XWorm facilita la propagación mediante técnicas como la infiltración de PE en procesos legítimos como RegAsm.exe o la inyección directa de shellcode, lo que mejora la evasión.
Lo que distingue a esta campaña es su explotación de la IA como vector de ingeniería social, dirigida a un público crédulo de creadores y pequeñas empresas que exploran la IA para aumentar su productividad.
A diferencia del phishing tradicional o los señuelos de software pirateado, estos atacantes se aprovechan de la novedad y la aparente legitimidad de las herramientas de IA.
Investigaciones de inteligencia de fuentes abiertas (OSINT) revelan que el desarrollador de Noodlophile, probablemente de origen vietnamita según indicadores de redes sociales, comercializa activamente este malware en foros de ciberdelincuencia como parte de un modelo de malware como servicio (MaaS).
La sofisticada ofuscación —que combina codificación Base64, archivos protegidos con contraseña y ejecución basada en memoria— dificulta la detección y el análisis, mientras que los mecanismos de persistencia mediante claves del Registro de Windows garantizan el acceso a largo plazo.
Esta campaña destaca las tácticas cambiantes de los ciberdelincuentes que se adaptan a las nuevas tendencias tecnológicas, convirtiendo la curiosidad pública en una puerta de entrada para el robo de datos y la vulneración de sistemas.
A medida que aumenta la adopción de la IA, los usuarios deben permanecer alerta, verificando la autenticidad de las plataformas y evitando descargas no solicitadas. Organizaciones como Morphisec abogan por defensas proactivas como la Defensa Automatizada de Objetivos Móviles (AMTD) para neutralizar estas amenazas sigilosas antes de su ejecución.