Incidents associés
Les fausses IA de génération d'images promues sur Facebook mènent à un nouveau voleur d'informations appelé « Noodlophile », selon Morphisec [https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/].
Les chercheurs de Morphisec ont découvert des pages Facebook se faisant passer pour le service légitime d'IA de conversion de texte en vidéo Luma Dream Machine, qui redirigeaient vers de faux sites web promettant des IA de conversion d'images en vidéos gratuites.
L'une des fausses pages comptait près de 4 000 abonnés, et l'une d'elles était « vérifiée » par une coche bleue, comme le montrent des captures d'écran publiées par Morphisec. De plus, l'une des publications faisant la promotion du faux générateur vidéo a enregistré plus de 62 000 vues.
Si un utilisateur téléchargeait une image à convertir en vidéo sur l'un de ces sites, celui-ci proposait le téléchargement d'une archive prétendant contenir la vidéo IA, qui contenait en réalité un exécutable malveillant et un dossier caché contenant d'autres fichiers malveillants.
L'exécutable initial s'appelait « Video Dream MachineAI.mp4. exe » avec une fausse extension de fichier vidéo et des espaces blancs pour masquer sa véritable nature. Ce fichier est une version modifiée de l'outil de montage vidéo légitime CapCut et est signé avec un certificat créé avec WinAuth, ce qui pourrait aider le malware à contourner les alertes de sécurité.
Une fois exécuté, ce fichier déclenche une chaîne d'attaque multicouche exploitant des fichiers supplémentaires du dossier caché « 5.0.0.1886 ». L'exécutable initial localise et exécute un second exécutable intitulé « CapCut.exe », un wrapper C++ intégré à une charge utile .NET malveillante.
« CapCut.exe » est également intégré à environ 275 fichiers exécutables portables (PE), ce qui porte sa taille à 140 Mo, ce qui pourrait lui permettre de ressembler davantage à une application logicielle légitime et d'échapper aux scanners statiques, selon Morphisec.
« CapCut.exe » lance le composant .NET malveillant « CapCutLoader », qui confirme la connectivité Internet en pingant google.com jusqu'à 10 fois, puis importe la fonction wgom depuis le fichier « AICore.dll ». La fonction wgom facilite l'exécution de fonctions en ligne de commande, permettant l'exécution du fichier « install.bat », renommé « Document.docx » par « CapCutLoader » avant son exécution.
Le fichier de script batch obscurci, déguisé en document Word, effectue une série d'actions pour établir la persistance, entraver l'investigation et récupérer la charge utile Noodlophile finale.
Le script crée un nouveau script batch « Explorer.bat » et l'enregistre sous la clé de registre « Run » pour établir la persistance. Il utilise un fichier nommé « srchost.exe » pour exécuter du code Python qui récupère un autre script Python « Randomuser2025.txt » depuis une URL distante. Il se supprime ensuite lui-même et supprime l'archive extraite afin d'effacer les traces d'analyse de l'attaque, a expliqué Morphisec.
Le fichier « Randomuser2025.txt » décode et charge dynamiquement la charge utile Noodlophile en mémoire, ainsi qu'un chargeur Python appelé XWorm. « Randomuser2025.txt » contient également environ 10 000 instances répétées de 1 / int(0) en début de fichier, conçues pour « détruire les outils automatisés, en particulier ceux qui tentent le désassemblage, l'analyse du bytecode ou les analyseurs AST », a écrit Shmuel Uzan, chercheur en sécurité chez Morphisec.
Le malware voleur d'informations Noodlophile collecte les identifiants de navigateur, les cookies, les informations du portefeuille de cryptomonnaies et d'autres informations et jetons sensibles. Il envoie les informations extraites à l'attaquant via Telegram et, d'après l'enquête de Morphisec sur son développeur, il serait proposé sous forme de logiciel malveillant en tant que service (MaaS).
Les attaques découvertes associent parfois Noodlophile à l'outil d'injection XWorm, qui facilite l'infection en utilisant une fonction de chargement de shellcode local pour exécuter directement du code donut en mémoire et effectuer un PE hollowing ciblant RegAsm.exe afin d'injecter le malware dans le processus système légitime, mais uniquement si les outils Avast sont présents, a noté Morphisec.
Alors que les outils d'IA générative gagnent en popularité, tant pour les particuliers que pour les entreprises, de plus en plus de faux outils d'IA apparaissent pour inciter les utilisateurs à installer des malwares. Une campagne récente de propagation de malware connue sous le nom de TookPS a utilisé des installations gratuites de DeepSeek et d'autres outils professionnels comme leurres d'ingénierie sociale.
Dans un autre exemple, de faux packages Python Package Index (PyPI) prétendant fournir un accès API à ChatGPT et Claude ont conduit à l'installation du malware infostealer JarkaStealer lors d'une attaque découverte l'année dernière.