Incidentes Asociados
Se utilizan herramientas falsas de generación de vídeo basadas en IA para distribuir una nueva familia de malware que roba información, llamada "Noodlophile", bajo la apariencia de contenido multimedia generado.
Los sitios web utilizan nombres atractivos como "Dream Machine" y se anuncian en grupos de Facebook de alta visibilidad, haciéndose pasar por herramientas avanzadas de IA que generan vídeos a partir de los archivos subidos por los usuarios.
Aunque el uso de herramientas de IA para distribuir malware no es un concepto nuevo y ha sido adoptado por ciberdelincuentes experimentados, el descubrimiento de la última campaña de Morphisec introduce un nuevo ladrón de información.
Según Morphisec, Noodlophile se vende en foros de la dark web, a menudo incluido en servicios de "Obtener Cookie + Pass", por lo que se trata de una nueva operación de malware como servicio vinculada a operadores vietnamitas.
Cadena de infección multietapa
Una vez que la víctima visita el sitio web malicioso y sube sus archivos, recibe un archivo ZIP que supuestamente contiene un vídeo generado por IA.
En cambio, el ZIP contiene un ejecutable con un nombre engañoso (Video Dream MachineAI.mp4.exe) y una carpeta oculta con varios archivos necesarios para las etapas posteriores. Si un usuario de Windows tiene las extensiones de archivo deshabilitadas (nunca lo haga), a simple vista, parecería un archivo de vídeo MP4.
El archivo Video Dream MachineAI.mp4.exe es una aplicación C++ de 32 bits firmada con un certificado creado mediante Winauth, explica Morphisec.
A pesar de su nombre engañoso (que sugiere un vídeo .mp4), este binario es en realidad una versión reutilizada de CapCut, una herramienta legítima de edición de vídeo (versión 445.0). Este nombre y certificado engañosos le ayudan a eludir las sospechas de los usuarios y a evitar algunas soluciones de seguridad.
Al hacer doble clic en el MP4 falso, se ejecutarán una serie de ejecutables que, finalmente, lanzarán un script por lotes (Document.docx/install.bat).
El script utiliza la herramienta legítima de Windows 'certutil.exe' para decodificar y extraer un archivo RAR codificado en base64 y protegido por contraseña que se hace pasar por un documento PDF. Al mismo tiempo, añade una nueva clave de Registro para la persistencia.
A continuación, el script ejecuta 'srchost.exe', que ejecuta un script de Python ofuscado (randomuser2025.txt) obtenido de una dirección de servidor remoto codificada, y finalmente ejecuta el Noodlophile Stealer en memoria.
Si se detecta Avast en el sistema comprometido, se utiliza el vaciado de PE para inyectar la carga útil en RegAsm.exe. De lo contrario, se utiliza la inyección de shellcode para la ejecución en memoria.
Noodlophile es un nuevo malware ladrón de información que ataca datos almacenados en navegadores web, como credenciales de cuenta, cookies de sesión, tokens y archivos de monederos de criptomonedas.
"Noodlophile Stealer representa una nueva incorporación al ecosistema de malware. Anteriormente no documentado en rastreadores o informes de malware públicos, este ladrón combina el robo de credenciales del navegador, la exfiltración de monederos y la implementación opcional de acceso remoto", explican los investigadores de Morphisec.
Los datos robados se exfiltran a través de un bot de Telegram, que funciona como un servidor de comando y control (C2) encubierto, lo que permite a los atacantes acceder en tiempo real a la información robada.
En algunos casos, Noodlophile se integra con XWorm, un troyano de acceso remoto, lo que otorga a los atacantes una gran capacidad de robo de datos que va mucho más allá del robo pasivo que facilita el ladrón de información.
La mejor manera de protegerse del malware es evitar descargar y ejecutar archivos de sitios web desconocidos.
Verifique siempre las extensiones de los archivos antes de abrirlos y analice todos los archivos descargados con una herramienta antivirus actualizada antes de ejecutarlos.