Incidents associés
Des cybercriminels ont lancé une nouvelle campagne de logiciels malveillants utilisant de fausses plateformes de génération de vidéos par IA comme leurre.
Baptisé Noodlophile Stealer, ce voleur d'informations, jusqu'alors inconnu, cible des utilisateurs peu méfiants en exploitant leur enthousiasme pour les outils de création de contenu basés sur l'IA.
Déguisées en services légitimes promettant de transformer des images en vidéos, ces plateformes frauduleuses, souvent promues par des campagnes virales sur les réseaux sociaux et des groupes Facebook cumulant des milliers de vues, incitent les utilisateurs à télécharger des charges utiles malveillantes qui collectent les identifiants de navigateur, les portefeuilles de cryptomonnaies et d'autres données sensibles.
Dans de nombreux cas, le logiciel malveillant déploie également un cheval de Troie d'accès à distance (RAT) comme XWorm, offrant aux attaquants un contr�ôle accru sur les systèmes compromis.
Les cybercriminels exploitent le battage médiatique autour de l'IA
La chaîne d'attaque commence lorsque les utilisateurs, attirés par des publicités sur des plateformes imitant des outils populaires comme Luma Dream Machine ou CapCut, téléchargent des images ou des vidéos personnelles sur ces faux sites web.
Après un écran de chargement trompeur, les victimes sont invitées à télécharger leur contenu « traité », qui est en réalité une archive ZIP malveillante telle que VideoDreamAI.zip.
À l'intérieur, un exécutable trompeur nommé Video Dream MachineAI.mp4.exe se fait passer pour un fichier vidéo grâce à une manipulation astucieuse du nom de fichier.
Lors de son exécution, ce binaire C++ 32 bits, réutilisé à partir d'une version légitime de CapCut, lance un processus d'infection en plusieurs étapes.
Il lance CapCut.exe, un wrapper C++ de 140 Mo intégrant du code malveillant .NET, conçu pour échapper aux scanners statiques grâce à sa taille et sa structure modulaire.
Selon Morphisec Rapport, ce chargeur vérifie la connectivité Internet en envoyant jusqu'à 10 pings à Google, renomme des fichiers déguisés comme Document.docx en install.bat et déclenche d'autres phases d'infection impliquant des archives encodées en Base64 et des charges utiles Python récupérées sur des serveurs distants.
La charge utile finale, Noodlophile Stealer, exfiltre les données via des robots Telegram, tandis que XWorm facilite la propagation grâce à des techniques telles que l'infiltration PE dans des processus légitimes comme RegAsm.exe ou l'injection directe de shellcode, améliorant ainsi l'évasion.
Cette campagne se distingue par son exploitation de l'IA comme vecteur d'ingénierie sociale, ciblant un public confiant de créateurs et de petites entreprises qui explorent l'IA à des fins de productivité.
Contrairement aux leurres traditionnels de phishing ou de logiciels piratés, ces attaquants capitalisent sur la nouveauté et la légitimité perçue des outils d'IA.
Des enquêtes de renseignement open source (OSINT) révèlent que le développeur de Noodlophile, probablement d'origine vietnamienne selon les indicateurs des réseaux sociaux, commercialise activement ce malware sur les forums de cybercriminalité dans le cadre d'un modèle de malware en tant que service (MaaS).
L'obfuscation sophistiquée, combinant codage Base64, archives protégées par mot de passe et exécution en mémoire, rend la détection et l'analyse difficiles, tandis que les mécanismes de persistance via les clés de registre Windows garantissent un accès à long terme.
Cette campagne met en lumière l'évolution des tactiques des cybercriminels, qui s'adaptent aux nouvelles tendances technologiques, transformant la curiosité du public en une porte d'entrée pour le vol de données et la compromission des systèmes.
Avec l'adoption croissante de l'IA, les utilisateurs doivent rester vigilants, vérifier l'authenticité des plateformes et éviter les téléchargements non sollicités. Des organisations comme Morphisec préconisent quant à elles des défenses proactives comme la défense automatisée contre les cibles mobiles (AMTD) pour neutraliser ces menaces furtives avant leur exécution.