Problème 5467

Incidents associés

Incident 10808 Rapports
Noodlophile Stealer Reportedly Distributed Through Allegedly Fraudulent AI Content Platforms

Loading...
De faux outils vidéo d'IA propagent un nouveau malware « noodlophile » et ciblent des milliers de personnes sur Facebook.
esecurityplanet.com · 2025

Alors que les outils d'IA gagnent en popularité, les cybercriminels exploitent cet engouement avec de fausses plateformes de montage vidéo IA qui incitent les utilisateurs à télécharger des logiciels malveillants.

Au cœur de cette nouvelle tendance inquiétante se trouve un infostealer jusqu'alors inconnu, appelé Noodlophile Stealer, désormais diffusé secrètement via des sites web frauduleux promus sur les réseaux sociaux.

Des chercheurs de l'entreprise de cybersécurité Morphisec ont dévoilé toute l'ampleur du stratagème. Ils révèlent que les attaquants utilisent des plateformes réalistes inspirées de l'IA pour inciter les utilisateurs, en particulier les créateurs de contenu et les petites entreprises, à s'infecter avec des malwares.

Comment fonctionne l'arnaque : des « outils d'IA gratuits » qui vous coûtent tout

Le piège commence sur Facebook, où des publications et des pages bien conçues font la promotion de faux services d'IA. Une seule publication a cumulé plus de 62 000 vues, ce qui témoigne de l'ampleur de l'arnaque. De faux noms d'outils d'IA comme « Dream Machine AI » et « CapCut AI » sont couramment utilisés pour attirer l'attention.

« Au lieu de s'appuyer sur des sites traditionnels d'hameçonnage ou de logiciels piratés, ils créent des plateformes convaincantes sur le thème de l'IA, souvent promues via des groupes Facebook d'apparence légitime et des campagnes virales sur les réseaux sociaux », a déclaré Shmuel Uzan, chercheur chez Morphisec.

Lorsque les utilisateurs visitent ces sites web frauduleux, ils sont invités à télécharger une image ou une vidéo, pensant qu'une IA générera du contenu pour eux. Mais au lieu de recevoir une vidéo éditée, ils reçoivent un fichier ZIP nommé « VideoDreamAI.zip ». À l'intérieur se trouve un fichier sournois : « Video Dream MachineAI.mp4.exe », déguisé en vidéo, mais en réalité un programme malveillant.

VOIR : Liste de contrôle des réponses aux logiciels malveillants (TechRepublic Premium)

Qu'est-ce que Noodlophile Stealer ?

Noodlophile Stealer est une nouvelle souche de logiciel malveillant. Il vole les mots de passe des navigateurs, les cookies et les données des portefeuilles de cryptomonnaies. Dans certains cas, il installe un cheval de Troie d'accès à distance (RAT) appelé XWorm pour permettre aux attaquants de prendre le contrôle total de l'appareil infecté.

« Noodlophile Stealer représente un nouvel ajout à l'écosystème des malwares. Jusqu'alors non documenté dans les outils de suivi ou les rapports publics de malwares… », a déclaré Morphisec dans son rapport.

Une fois le faux fichier vidéo exécuté, il lance une version falsifiée, mais apparemment réelle, de CapCut.exe. À l'intérieur se trouvent plusieurs couches de chargeurs et de scripts de malwares.

Parmi les fichiers impliqués dans le processus d'infection, on trouve :

  • CapCut.exe : un gros fichier binaire d'apparence réelle contenant du code .NET malveillant.
  • AICore.dll : un assistant qui exécute silencieusement des commandes système. - Document.docx : un fichier batch déguisé qui télécharge davantage de logiciels malveillants.
  • Document.pdf : une archive encodée en Base64 (pas vraiment un PDF).
  • Meta (renommé ultérieurement images.exe : un outil d'extraction RAR utilisé pour décompresser la charge utile.

Le script Python final (srchost.exe) télécharge et lance le véritable logiciel malveillant Noodlophile, volant des données sensibles et les exfiltrant via des robots Telegram.

Le logiciel malveillant utilise des techniques avancées pour échapper à la détection, comme le masquage de fichiers, l'obscurcissement du code et l'envoi de plusieurs pings à Google pour vérifier la connexion Internet avant de poursuivre. Morphisec a signalé que le logiciel malveillant télécharge finalement un composant Python qui :

  • vole les identifiants et les cookies ;
  • injecte des logiciels malveillants supplémentaires via un shellcode ou un PE hollowing ;
  • établit la persistance en modifiant le registre Windows.

Qui est derrière ?

Les chercheurs de Morphisec ont retrouvé des mentions de « Noodlophile » sur des forums de hackers, où il est vendu sous forme de packages de malware-as-a-service (MaaS). Il est souvent fourni avec des outils appelés « Get Cookie + Pass », utilisés pour pirater des comptes utilisateurs.

D'après le langage utilisé et les profils Facebook et GitHub associés, le développeur serait originaire du Vietnam. Sur GitHub, il se décrit comme un « développeur de malwares passionné du Vietnam ». Le compte a été créé le 16 mars.

Comment se protéger ?

  • Évitez de télécharger des exécutables depuis des sites web d'outils d'IA inconnus.
  • Vérifiez les extensions de fichier. Un fichier nommé « video.mp4.exe » est un signal d'alarme.
  • Méfiez-vous des offres d'IA trop belles pour être vraies sur les réseaux sociaux.

Avec l'omniprésence des outils d'IA, les cybercriminels s'adaptent rapidement. Cette campagne montre avec quelle facilité les pirates informatiques exploitent l’enthousiasme du public pour les nouvelles technologies, transformant la curiosité en cauchemar de sécurité.

Lire la source