脅威アクターが、偽の人工知能(AI)搭載ツールを餌として利用し、ユーザーを誘い込んで「Noodlophile」と呼ばれる情報窃取型マルウェアをダウンロードさせようとしていることが確認されています。
「従来のフィッシングサイトやクラックされたソフトウェアサイトに頼るのではなく、彼らはAIをテーマにした説得力のあるプラットフォームを構築し、多くの場合、本物に見えるFacebookグループやバイラルソーシャルメディアキャンペーンを通じて宣伝しています」と、Morphisecの研究員であるShmuel Uzan氏は先週公開されたレポートで述べています。
これらのページで共有された投稿は、1つの投稿で62,000回以上閲覧されていることが分かっており、動画��や画像編集用のAIツールを探しているユーザーがこのキャンペーンの標的となっていることが示唆されています。特定された偽ソーシャルメディアページには、Luma Dreammachine Al、Luma Dreammachine、gratistuslibrosなどがあります。
ソーシャルメディアの投稿にアクセスしたユーザーは、動画、ロゴ、画像、さらにはウェブサイトなど、AIを活用したコンテンツ作成サービスの広告リンクをクリックするよう促されます。偽ウェブサイトの1つはCapCut AIを装い、「AI新機能搭載のオールインワン動画編集ソフト」を謳っています。
何も知らないユーザーがこれらのサイトに画像や動画をアップロードすると、AI生成コンテンツとされるコンテンツのダウンロードを促されますが、実際には悪意のあるZIPアーカイブ(「VideoDreamAI.zip」)がダウンロードされます。
このファイルには、「Video Dream MachineAI.mp4.exe」という偽ファイルが含まれており、ByteDanceの動画編集ソフト(「CapCut.exe」)に関連付けられた正規のバイナリを起動することで感染連鎖を開始します。このC++ベースの実行ファイルは、CapCutLoaderという.NETベースのローダーを実行するために使用され、最終的にリモートサーバーからPythonペイロード(「srchost.exe」)が読み込まれます。
このPythonバイナリは、ブラウザの認証情報、暗号通貨ウォレット情報、その他の機密データを収集する機能を備えたNoodlophile Stealerの展開を可能にします。また、一部のインスタンスでは、感染ホストへの侵入経路を確保するために、XWormのようなリモートアクセス型トロイの木馬がStealerにバンドルされていました。
Noodlophileの開発者はベトナム出身と推定されており、GitHubプロフィールでは「ベトナム出身の情熱的なマルウェア開発者」であると主張しています。このアカウントは2025年3月16日に作成されました。この東南アジアの国は、Facebookを標的とした様々なスティーラーマルウェアファミリーを拡散してきた歴史を持つ活発なサイバー犯罪エコシステムの本拠地であることは指摘しておく価値があります。
AI技術に対する一般の関心を悪意ある者が自分たちの利益のために利用することは、新しい現象ではありません。 Metaは2023年、自社のサービス間で共有されていた1,000件以上の悪意のあるURLを削除したと発表しました。これらのURLは、2023年3月以降、OpenAIのChatGPTをルアーとして利用し、約10種類のマルウェアファミリーを拡散していたことが判明しました。
この情報開示は、CYFIRMAが、侵害されたWindowsシステムから幅広いデータを窃取し、攻撃者が制御するTelegramボットに流出させる可能性のある、コードネーム「PupkinStealer」と呼ばれる新たな.NETベースのスティーラーマルウェアファミリーの詳細を発表したことと時を同じくしています。
「PupkinStealerは、特別な分析対策や永続化メカニズムを持たず、単純な実行と目立たない動作によって動作中の検出を回避しています」と、サイバーセキュリティ企業は述べています。「PupkinStealerは、一般的なシステム動作と�広く使用されているプラットフォームを悪用して機密情報を盗み出す、シンプルでありながら効果的なデータ窃取型マルウェアの典型です。」