Incidentes Asociados
Los generadores de imágenes de IA falsos anunciados en Facebook están dando lugar a un nuevo ladrón de información llamado "Noodlophile", según informó Morphisec (https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/).
Los investigadores de Morphisec descubrieron páginas de Facebook que suplantaban al servicio legítimo de IA de conversión de texto a video Luma Dream Machine, que enlazaba con sitios web falsos que prometían generación gratuita de imágenes a video con IA.
Una de las páginas falsas tenía casi 4000 seguidores y otra estaba "verificada" con una marca de verificación azul, según muestran las capturas de pantalla publicadas por Morphisec. Además, una de las publicaciones que anunciaba el generador de videos falsos obtuvo más de 62 000 visitas.
Si un usuario subía una imagen para convertirla en video a uno de estos sitios, este proporcionaba una descarga de archivo que supuestamente contenía el video de IA, pero que en realidad contenía un ejecutable malicioso y una carpeta oculta con otros archivos maliciosos.
El ejecutable inicial se llamaba "Video Dream MachineAI.mp4.exe", con una extensión de archivo de video falsa y espacios en blanco para ocultar su verdadera naturaleza. El archivo es una versión modificada de la herramienta legítima de edición de video CapCut y está firmado con un certificado creado con WinAuth, lo que podría ayudar al malware a evadir las alertas de seguridad.
Una vez ejecutado, este archivo desencadena una cadena de ataque multicapa que aprovecha archivos adicionales de la carpeta oculta "5.0.0.1886". El ejecutable inicial localiza y ejecuta un segundo ejecutable llamado "CapCut.exe", un contenedor de C++ con una carga útil .NET maliciosa integrada.
"CapCut.exe" también contiene unos 275 archivos ejecutables portables (PE), lo que aumenta su tamaño a 140 MB, lo que podría ayudarle a parecerse más a una aplicación de software legítima y evadir los escáneres estáticos, según Morphisec.
"CapCut.exe" ejecuta el componente .NET malicioso "CapCutLoader", que confirma la conexión a internet haciendo ping a google.com hasta 10 veces y luego importa la función wgom del archivo "AICore.dll". La función wgom facilita la ejecución de funciones de línea de comandos, permitiendo la ejecución de "install.bat", cuyo nombre original "Document.docx" cambia a "CapCutLoader" antes de su ejecución.
El archivo de script por lotes ofuscado, camuflado como un documento de Word, realiza una serie de acciones para establecer la persistencia, dificultar la investigación y recuperar la carga útil final de Noodlophile.
El script crea un nuevo script por lotes "Explorer.bat" y lo registra en la clave de registro "Ejecutar" para establecer la persistencia. Utiliza un archivo llamado "srchost.exe" para ejecutar código Python que recupera otro script de Python "Randomuser2025.txt" desde una URL remota. Posteriormente, se borra a sí mismo y al archivo extraído para intentar borrar los rastros forenses del ataque, explicó Morphisec.
El archivo "Randomuser2025.txt" decodifica dinámicamente y carga la carga útil de Noodlophile en memoria, junto con un cargador basado en Python llamado XWorm. "Randomuser2025.txt" también contiene alrededor de 10 000 instancias repetidas de 1 / int(0) al principio del archivo, diseñadas para "vulnerar herramientas automatizadas, especialmente aquellas que intentan desensamblar, analizar código de bytes o analizadores AST", escribió Shmuel Uzan, investigador de seguridad de Morphisec.
El malware Noodlophile, que roba información, recopila credenciales del navegador, cookies, información de la billetera de criptomonedas y otra información confidencial y tokens. Envía la información extraída al atacante a través de Telegram y, según la investigación de Morphisec sobre el desarrollador del malware, se cree que se ofrece como malware como servicio (MaaS). Los ataques descubiertos a veces combinan Noodlophile con la herramienta de descarga XWorm, que facilita la infección mediante el uso de una función local de carga de shellcode para ejecutar directamente código donut en memoria y realizar un vaciado de PE dirigido a RegAsm.exe para inyectar el malware en el proceso legítimo del sistema, pero solo si las herramientas de Avast están presentes, señaló Morphisec.
A medida que las herramientas de IA generativa se vuelven más populares tanto para uso personal como empresarial, surgen más herramientas de IA falsas para engañar a los usuarios y que instalen malware. Una campaña reciente que difundía malware, conocida como TookPS, utilizó instalaciones gratuitas de DeepSeek y otras herramientas empresariales como señuelos de ingeniería social.
En otro ejemplo, paquetes falsos de Python Package Index (PyPI) que afirman proporcionar acceso API a ChatGPT y Claude llevaron a la instalación del malware ladrón de información JarkaStealer en un ataque descubierto el año pasado.