サイバー犯罪者は、偽のAI動画生成プラットフォームを餌として利用した新たなマルウェア攻撃を開始しました。
「Noodlophile Stealer」と呼ばれるこの未確認のインフォスティーラーは、AIを活用したコンテンツ作成ツールへの熱意につけ込み、無防備なユーザーを標的とします。
画像を動画に変換することを約束する正規のサービスを装ったこれらの詐欺プラットフォームは、多くの場合、ソーシャルメディアのバイラルキャンペーンや数千回再生されるFacebookグループを通じて宣伝され、ユーザーを騙してブラウザの認証情報、暗号通貨ウォレット、その他の機密データを収集する悪意のあるペイロードをダウンロードさせます。
多くの場合、このマルウェアはXWormのようなリモ��ートアクセス型トロイの木馬(RAT)も展開し、攻撃者が侵害したシステムをより深く制御できるようにします。
AIの誇大宣伝を悪用するサイバー犯罪者
攻撃チェーンは、Luma Dream MachineやCapCutといった人気ツールを模倣したプラットフォーム上の広告に誘導されたユーザーが、これらの偽ウェブサイトに個人の画像や動画をアップロードすることから始まります。
欺瞞的な読み込み画面が表示された後、被害者は「処理済み」コンテンツのダウンロードを促されますが、実際にはVideoDreamAI.zipのような悪意のあるZIPアーカイブです。
内部には、巧妙なファイル名操作によって動画ファイルを装った、Video Dream MachineAI.mp4.exeという偽の実行ファイルが存在します。
正規版CapCutから転用されたこの32ビットC++バイナリが実行されると、多段階の感染プロセスが開始されます。
このローダーは、140MBのC++ラッパーで.NETの悪意あるコードを埋め込んだCapCut.exeを起動します。このラッパーは、その巨大なサイズとモジュール構造によって静的スキャナを回避するように設計されています。
Morphisecのレポートによると、このローダーはGoogleに最大10回pingを送信してインターネット接続を確認し、Document.docxなどの偽装ファイルの名前をinstall.batに変更し、Base64エンコードされたアーカイブとリモートサーバーから取得したPythonペイロードを含むさらなる感染段階を開始します。
最終的なペイロードであるNoodlophile StealerはTelegramボットを介してデータを盗み出し、XWormはRegAsm.exeなどの正規プロセスへのPEホローイングやシェルコードの直接インジェクションなどの手法で拡散を促進し、回避を強化します。
このキャンペーンの特徴は、AIをソーシャルエンジニアリングの手段として悪用し、生産性向上のためにAIの活用を検討しているクリエイターや中小企業といった、信頼を得ているユーザー層をターゲットにしていることです。
従来のフィッシングや海賊版ソフトウェアによる攻撃とは異なり、これらの攻撃者はAIツールの目新しさと、その正当性につけ込んでいます。
オープンソースインテリジェンス(OSINT)調査の結果、ソーシャルメディアの指標からベトナム系と思われるNoodlophileの開発者が、このマルウェアをMaaS(マルウェア・アズ・ア・サービス)モデルの一環としてサイバー犯罪フォーラムで積極的に販売していることが明らかになりました。
Base64エンコード、パスワード保護されたアーカイブ、メモリベースの実行を組み合わせた高度な難読化により、検出と分析が困難になっています。また、Windowsレジストリキーを介した永続化メカニズムにより、長期的なアクセスが確保されています。
このキャンペーンは、新たな技術トレンドに適応し、一般の人々の好奇心をデータ窃盗やシステム侵害への入り口へと変えるサイバー犯罪者の戦術の進化を浮き彫りにしています。
AIの導入が急増する中、ユーザーはプラットフォームの信頼性を確認し、迷惑ダウンロードを避けるなど、常に警戒を怠ってはなりません。一方、Morphisecのような組織は、自動移動標的防御(AMTD)などのプロアクティブな防御策を提唱し、このようなステルス性の高い脅威を事前に無効化しています。