Incidents associés
De faux outils de génération de vidéos basés sur l'IA sont utilisés pour diffuser une nouvelle famille de logiciels malveillants voleurs d'informations appelée « Noodlophile », sous couvert de contenu multimédia généré.
Ces sites web utilisent des noms attrayants comme « Dream Machine » et sont annoncés sur des groupes Facebook très visibles, se faisant passer pour des outils d'IA avancés générant des vidéos à partir des fichiers utilisateurs téléchargés.
Bien que l'utilisation d'outils d'IA pour diffuser des logiciels malveillants ne soit pas un concept nouveau et ait été adoptée par des cybercriminels expérimentés, la découverte de la dernière campagne de Morphisec introduit un nouveau voleur d'informations. Selon Morphisec, Noodlophile est vendu sur les forums du dark web, souvent associé à des services « Get Cookie + Pass ». Il s'agit donc d'une nouvelle opération de type « malware as a service » liée à des opérateurs vietnamiens.
Chaîne d'infection en plusieurs étapes
Une fois que la victime visite le site web malveillant et télécharge ses fichiers, elle reçoit une archive ZIP censée contenir une vidéo générée par l'IA.
En réalité, cette archive ZIP contient un exécutable au nom trompeur (Video Dream MachineAI.mp4.exe) et un dossier caché contenant divers fichiers nécessaires aux étapes suivantes. Si un utilisateur Windows a désactivé les extensions de fichier (à ne jamais faire), cela ressemblerait, au premier coup d'œil, à un fichier vidéo MP4.
« Le fichier Video Dream MachineAI.mp4.exe est une application C++ 32 bits signée à l'aide d'un certificat créé via Winauth », explique Morphisec.
« Malgré son nom trompeur (suggérant une vidéo .mp4), ce binaire est en réalité une version réutilisée de CapCut, un outil de montage vidéo légitime (version 445.0). Ce nom et ce certificat trompeurs lui permettent d'échapper aux soupçons des utilisateurs et à certaines solutions de sécurité. »
Un double-clic sur le faux MP4 exécute une série d'exécutables qui lancent un script batch (Document.docx/install.bat).
Le script utilise l'outil Windows légitime « certutil.exe » pour décoder et extraire une archive RAR encodée en base64 et protégée par mot de passe se faisant passer pour un document PDF. Il ajoute également une nouvelle clé de registre pour la persistance.
Le script exécute ensuite « srchost.exe », qui exécute un script Python obscurci (randomuser2025.txt) récupéré depuis une adresse de serveur distant codée en dur, exécutant finalement le voleur Noodlophile en mémoire.
Si Avast est détecté sur le système compromis, le PE hollowing est utilisé pour injecter la charge utile dans RegAsm.exe. Sinon, l'injection de shellcode est utilisée pour l'exécution en mémoire.
Noodlophile est un nouveau malware de vol d'informations qui cible les données stockées dans les navigateurs web, telles que les identifiants de compte, les cookies de session, les jetons et les fichiers de portefeuille de cryptomonnaies.
« Noodlophile Stealer représente un nouvel ajout à l'écosystème des malwares. Jusqu'alors non documenté dans les outils de suivi ou les rapports publics de malwares, ce voleur combine le vol d'identifiants de navigateur, l'exfiltration de portefeuille et le déploiement optionnel d'un accès à distance », expliquent les chercheurs de Morphisec.
Les données volées sont exfiltrées via un bot Telegram, qui fait office de serveur de commande et de contrôle (C2) secret, permettant aux attaquants d'accéder en temps réel aux informations volées.
Dans certains cas, Noodlophile est associé à XWorm, un cheval de Troie d'accès à distance, offrant aux attaquants des capacités de vol de données étendues, allant bien au-delà du vol passif facilité par le voleur d'informations.
La meilleure façon de se protéger des logiciels malveillants est d'éviter de télécharger et d'exécuter des fichiers provenant de sites web inconnus.
Vérifiez toujours les extensions de fichiers avant de les ouvrir et analysez tous les fichiers téléchargés avec un antivirus à jour avant de les exécuter.