Problema 5467

Incidentes Asociados

Incidente 10808 Reportes
Noodlophile Stealer Reportedly Distributed Through Allegedly Fraudulent AI Content Platforms

Loading...
Herramientas de video con IA falsas difunden nuevo malware "Noodlophile" y atacan a miles de personas en Facebook.
esecurityplanet.com · 2025

Ante el auge de la popularidad de las herramientas de IA, los ciberdelincuentes se aprovechan de este entusiasmo con plataformas falsas de edición de vídeo con IA que incitan a los usuarios a descargar malware.

En el centro de esta inquietante nueva tendencia se encuentra un infostealer previamente desconocido, llamado Noodlophile Stealer, que ahora se distribuye en secreto a través de sitios web fraudulentos promocionados en redes sociales.

Investigadores de la empresa de ciberseguridad Morphisec han descubierto el alcance completo de este esquema. Revelan que los atacantes utilizan plataformas con temática de IA realista para engañar a los usuarios, especialmente a creadores de contenido y pequeñas empresas, para que se infecten con malware.

Cómo funciona la estafa: "Herramientas de IA gratuitas" que te lo cuestan todo

La trampa comienza en Facebook, donde publicaciones y páginas bien diseñadas promocionan servicios falsos de IA. Una sola publicación acumuló más de 62.000 visitas, lo que demuestra la amplia expansión de la estafa. Nombres falsos de herramientas de IA como "Dream Machine AI" y "CapCut AI" se usan comúnmente para llamar la atención.

"En lugar de recurrir a sitios web tradicionales de phishing o software pirateado, crean plataformas convincentes con temática de IA, a menudo anunciadas a través de grupos de Facebook de apariencia legítima y campañas virales en redes sociales", afirmó Shmuel Uzan, investigador de Morphisec, (https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/).

Cuando los usuarios visitan estos sitios web fraudulentos, se les pide que suban una imagen o un vídeo, creyendo que una IA generará contenido para ellos. Pero en lugar de recibir un video editado, reciben un archivo ZIP llamado "VideoDreamAI.zip". Dentro hay un archivo oculto: "Video Dream MachineAI.mp4.exe", camuflado para parecer un video, pero en realidad es un programa malicioso.

VER: Lista de verificación de respuesta ante malware (TechRepublic Premium)

¿Qué es Noodlophile Stealer?

Noodlophile Stealer es una nueva variante de malware. Roba contraseñas del navegador, cookies y datos de monederos de criptomonedas. En algunos casos, instala un troyano de acceso remoto (RAT) llamado XWorm para que los atacantes tomen el control total del dispositivo infectado.

"Noodlophile Stealer representa una nueva incorporación al ecosistema de malware. Anteriormente no se había documentado en rastreadores o informes de malware públicos...", declaró Morphisec en su informe.

Una vez ejecutado el archivo de vídeo falso, lanza una versión de CapCut.exe con apariencia real, pero alterada. En su interior se ocultan múltiples capas de cargadores de malware y scripts.

Algunos archivos involucrados en el proceso de infección incluyen:

  • CapCut.exe: Un binario grande con apariencia real que integra código .NET malicioso.
  • AICore.dll: Un asistente que ejecuta comandos del sistema de forma silenciosa. - Document.docx: Un archivo por lotes camuflado que descarga más malware.
  • Document.pdf: Un archivo comprimido codificado en Base64 (no es realmente un PDF).
  • Meta (posteriormente renombrado como images.exe): Una herramienta de extracción de RAR utilizada para descomprimir la carga útil.

El script final de Python (srchost.exe) descarga e inicia el malware Noodlophile, robando datos confidenciales y exfiltrándolos mediante bots de Telegram.

El malware utiliza técnicas avanzadas para evitar ser detectado, como ocultar archivos, ofuscar código y hacer ping a Google varias veces para comprobar la conexión a internet antes de continuar. Morphisec informó que el malware finalmente descarga un componente basado en Python que:

  • Roba credenciales y cookies.
  • Inyecta malware adicional mediante shellcode o vaciado de PE.
  • Establece persistencia modificando el Registro de Windows.

¿Quién está detrás? -----------------

Los investigadores de Morphisec rastrearon menciones de "Noodlophile" en foros de hackers, donde se vende bajo paquetes de malware como servicio (MaaS). Suele incluirse en herramientas denominadas "Get Cookie + Pass", utilizadas para secuestrar cuentas de usuario.

Según el lenguaje empleado y los perfiles de Facebook y GitHub vinculados, se cree que el desarrollador es de Vietnam. En GitHub, se describe como un "apasionado desarrollador de malware de Vietnam". La cuenta se creó el 16 de marzo.

Cómo mantenerse seguro

  • Evite descargar ejecutables de sitios web desconocidos con herramientas de IA.
  • Compruebe las extensiones de archivo. Un archivo llamado "video.mp4.exe" es una señal de alerta.
  • Tenga cuidado con las ofertas de IA que parecen demasiado buenas para ser ciertas en redes sociales.

A medida que las herramientas de IA se vuelven omnipresentes, los ciberdelincuentes se adaptan rápidamente. Esta campaña muestra con qué facilidad los piratas informáticos explotan el entusiasmo del público ante las nuevas tecnologías, convirtiendo la curiosidad en una pesadilla de seguridad.

Leer la Fuente