Incidents associés
Des acteurs malveillants ont été observés utilisant de faux outils d'intelligence artificielle (IA) pour inciter les utilisateurs à télécharger un logiciel malveillant de vol d'informations baptisé Noodlophile.
« Au lieu de s'appuyer sur des sites traditionnels de phishing ou de logiciels piratés, ils créent des plateformes convaincantes basées sur l'IA, souvent promues via des groupes Facebook d'apparence légitime et des campagnes virales sur les réseaux sociaux », a déclaré Shmuel Uzan, chercheur chez Morphisec, dans un rapport publié la semaine dernière.
Les publications partagées sur ces pages ont généré plus de 62 000 vues, ce qui indique que les utilisateurs à la recherche d'outils d'IA pour le montage vidéo et photo sont la cible de cette campagne. Parmi les fausses pages de réseaux sociaux identifiées figurent Luma Dreammachine Al, Luma Dreammachine et gratistuslibros.
Les utilisateurs qui accèdent aux publications sur les réseaux sociaux sont incités à cliquer sur des liens faisant la promotion de services de création de contenu basés sur l'IA, notamment des vidéos, des logos, des images et même des sites web. L'un de ces faux sites web se fait passer pour CapCut AI et propose aux utilisateurs un « éditeur vidéo tout-en-un doté de nouvelles fonctionnalités d'IA ».
Une fois que les utilisateurs peu méfiants ont téléchargé leurs images ou vidéos sur ces sites, ils sont invités à télécharger le contenu supposé généré par l'IA. Une archive ZIP malveillante (« VideoDreamAI.zip ») est alors téléchargée à la place.
Ce fichier contient un fichier trompeur nommé « Video Dream MachineAI.mp4.exe » qui déclenche la chaîne d'infection en lançant un binaire légitime associé à l'éditeur vidéo de ByteDance (« CapCut.exe »). Cet exécutable en C++ est utilisé pour exécuter un chargeur .NET nommé CapCutLoader, qui, à son tour, charge une charge utile Python (« srchost.exe ») depuis un serveur distant.
Le binaire Python ouvre la voie au déploiement de Noodlophile Stealer, capable de collecter les identifiants de navigateur, les informations de portefeuille de cryptomonnaies et d'autres données sensibles. Certains cas ont également associé le voleur à un cheval de Troie d'accès à distance comme XWorm pour accéder de manière sécurisée aux hôtes infectés.
Le développeur de Noodlophile est d'origine vietnamienne et, sur son profil GitHub, se présente comme un « développeur de logiciels malveillants passionné du Vietnam ». Le compte a été créé le 16 mars 2025. Il convient de souligner que ce pays d'Asie du Sud-Est abrite un écosystème de cybercriminalité florissant qui a pour habitude de distribuer diverses familles de logiciels malveillants voleurs ciblant Facebook.
L'exploitation par des acteurs malveillants de l'intérêt du public pour les technologies d'IA à leur avantage n'est pas un phénomène nouveau. En 2023, Meta a annoncé avoir désactivé plus de 1 000 URL malveillantes partagées sur ses services, qui utilisaient ChatGPT d'OpenAI comme leurre pour propager une dizaine de familles de logiciels malveillants depuis mars 2023.
Cette révélation intervient alors que CYFIRMA détaille une autre nouvelle famille de logiciels malveillants voleurs basée sur .NET, nommée PupkinStealer, capable de voler un large éventail de données sur des systèmes Windows compromis et de les exfiltrer vers un bot Telegram contrôlé par un attaquant.
« Sans défenses anti-analyse spécifiques ni mécanismes de persistance, PupkinStealer s'appuie sur une exécution simple et un comportement discret pour éviter d'être détecté pendant son fonctionnement », a déclaré la société de cybersécurité (https://www.cyfirma.com/research/pupkinstealer-a-net-based-info-stealer/). « PupkinStealer illustre une forme simple mais efficace de malware de vol de données qui exploite les comportements courants des systèmes et les plateformes largement utilisées pour exfiltrer des informations sensibles. »