偽のAI搭載動画生成ツールが、生成されたメディアコンテンツを装い、「Noodlophile」と呼ばれる新たな情報窃取型マルウェアファミリーの拡散に利用されています。
これらのウェブサイトは「Dream Machine」といった魅力的な名前を使用し、Facebookの注目度の高いグループで宣伝されています。アップロードされたユーザーファイルに基づいて動画を生成する高度なAIツールを装っています。
AI ツールを使用してマルウェアを配信することは 新しい概念ではありません し、経験豊富なサイ�バー犯罪者によって採用されてきましたが、Morphisecによる最新のキャンペーンの発見により、新しいインフォスティーラーが登場しました。
Morphisecによると、Noodlophileはダークウェブフォーラムで販売されており、多くの場合「Get Cookie + Pass」サービスとバンドルされているため、ベトナム語圏の運営者と関連のある新しいMalware-as-a-Service(MaaS)活動といえます。
多段階感染チェーン
被害者が悪意のあるウェブサイトにアクセスしてファイルをアップロードすると、AI生成動画が含まれているはずのZIPアーカイブが届きます。
実際には、このZIPファイルには、紛らわしい名前の実行ファイル(Video Dream MachineAI.mp4.exe)と、後続の段階で必要な様々なファイルが入った隠しフォルダが含まれています。Windowsユーザーがファイル拡張子を無効にしている場合(絶対に無効にしないでください)、一見するとMP4動画ファイルのように見えます。
「Video Dream MachineAI.mp4.exe ファイルは、Winauth で作成された証明書を使用して署名された 32 ビット C++ アプリケーションです」と Morphisec は説明しています。
「.mp4 ビデオを連想させるという誤解を招く名前にもかかわらず、このバイナリは実際には正規のビデオ編集ツールである CapCut(バージョン 445.0)の再利用版です。この紛らわしい名前と証明書は、ユーザーの疑いを回避し、一部のセキュリティソリューションを回避しています。」
偽の MP4 ファイルをダブルクリ��ックすると、一連の実行ファイルが実行され、最終的にバッチスクリプト (Document.docx/install.bat) が起動します。
このスクリプトは、正規の Windows ツール「certutil.exe」を使用して、PDF ドキュメントを装った、base64 でエンコードされパスワード保護された RAR アーカイブをデコード・解凍します。同時に、永続化のために新しいレジストリキーも追加します。
次に、スクリプトは「srchost.exe」を実行します。これは、ハードコードされたリモートサーバーアドレスから取得された難読化されたPythonスクリプト(randomuser2025.txt)を実行し、最終的にメモリ内でNoodlophile Stealerを実行します。
侵害されたシステムでAvastが検出された場合、PE Hollowingを使用してペイロードをRegAsm.exeに挿入します。そうでない場合は、シェルコードインジェクションを使用してメモリ内で実行されます。
Noodlophileは、アカウント認証情報、セッションCookie、トークン、暗号通貨ウォレットファイルなど、Webブラウザに保存されているデータを標的とする、新しい情報窃取型マルウェアです。
「Noodlophile Stealerは、マルウェアエコシステムに新たに加わったものです。これまで公開されているマルウェアトラッカーやレポートには記載されていなかったこのスティーラーは、ブラウザ認証情報の窃取、ウォレットからの情報流出、そしてオプションのリモートアクセス展開といった機能を備えています」とMorphisecの研究者は説明しています。
盗まれたデータは、Telegramボットを介して持ち出されます。このボットは秘密のコマンド&コントロール(C2)サーバーとして機能し、攻撃者は盗んだ情報にリアルタイムでアク�セスできます。
Noodlophileには、リモートアクセス型トロイの木馬であるXWormがバンドルされている場合もあります。これにより、攻撃者は情報窃取型マルウェアによる受動的な窃取をはるかに超える高度なデータ窃取能力を得ることができます。
マルウェアから身を守る最善の方法は、未知のWebサイトからファイルをダウンロードして実行しないことです。
ファイルを開く前に必ず拡張子を確認し、ダウンロードしたファイルは実行前に最新のアンチウイルスツールでスキャンしてください。