AIツールの人気が急上昇する中、サイバー犯罪者は偽のAI動画編集プラットフォームを装い、ユーザーをマルウェアのダウンロードに誘い込むことで、その熱狂につけ込んでいます。
この憂慮すべき新たなトレンドの中心にあるのは、これまで知られていなかったインフォスティーラー「Noodlophile Stealer」です。このマルウェアは現在、ソーシャルメディアで宣伝されている偽のウェブサイトを通じて密かに拡散されています。
サイバーセキュリティ企業Morphisecの研究者たちは、この手口の全容を解明しました。彼らは、攻撃者がリアルなAIをテーマにしたプラットフォームを利用して、ユ�ーザー、特にコンテンツ制作者や中小企業を騙し、マルウェアに感染させようとしていることを明らかにしました。
詐欺の仕組み:すべてを犠牲にする「無料AIツール」
この罠はFacebookから始まります。巧妙にデザインされた投稿やページが偽のAIサービスを宣伝します。ある投稿だけで6万2000回以上の閲覧数を記録し、この詐欺がいかに広範囲に広がっているかを示しています。「Dream Machine AI」や「CapCut AI」といった偽AIツールの名前は、注目を集めるためによく使われます。
「従来のフィッシングサイトやクラックされたソフトウェアサイトに頼るのではなく、彼らはAIをテーマにした説得力のあるプラットフォームを構築します。多くの場合、本物に見えるFacebookグループやバイラルソーシャルメディアキャンペーンを通じて宣伝されます」と、Morphisecの研究者であるシュムエル・ウザン氏は述べています。
ユーザーがこれらの詐欺ウェブサイトにアクセスすると、AIがコンテンツを生成してくれると信じて、画像や動画をアップロードするよう促されます。しかし、編集された動画ではなく、「VideoDreamAI.zip」というZIPファイルが送られてきます。中には「Video Dream MachineAI.mp4.exe」という不正なファイルが入っており、動画に見せかけて実は悪意のあるプログラムです。
参照:マルウェア対応チェックリスト (TechRepublic Premium)
Noodlophile Stealerとは?
Noodlophile Stealerは、新しいマルウェアです。ブラウ��ザのパスワード、Cookie、暗号通貨ウォレットのデータを盗みます。場合によっては、XWormと呼ばれるリモートアクセス型トロイの木馬 (RAT) をインストールし、攻撃者が感染したデバイスを完全に制御できるようにします。
Morphisecはレポートの中で、「Noodlophile Stealerは、マルウェアエコシステムに新たに加わったものです。これまで公開されているマルウェアトラッカーやレポートには記載されていませんでした…」と述べています。
偽の動画ファイルが実行されると、本物のように見えるものの改ざんされたCapCut.exeが起動します。内部には、複数のマルウェアローダーとスクリプトが隠されています。
感染プロセスに関与するファイルには、以下が含まれます。
- CapCut.exe: 悪意のある.NETコードを埋め込んだ、本物のように見える大容量のバイナリ。
- AICore.dll: システムコマンドをサイレントに実行するヘルパー。
- Document.docx: マルウェアをさらにダウンロードする、偽装されたバッチファイル。
- Document.pdf: Base64エンコードされたアーカイブ(実際にはPDFではありません)。
- Meta(後にimages.exeに改名): ペイロードを解凍するために使用されるRAR抽出ツール。
最終的なPythonスクリプト(srchost.exe)は、実際のNoodlophileマルウェアをダウンロードして起動し、機密データを盗み出し、Telegramボットを介して外部に持ち出します。
このマルウェアは、ファイルの隠蔽、コードの難読化、処理を進める前にGoogleに複�数回pingを送信してインターネット接続を確認するなど、高度な技術を使用して検出を回避します。Morphisecによると、このマルウェアは最終的にPythonベースのコンポーネントをダウンロードし、以下の操作を行います。
- 認証情報とCookieを盗み出します。
- シェルコードまたはPE Hollowingを介して追加のマルウェアを挿入します。
- Windowsレジストリを変更することで永続性を確立します。
背後にいるのは誰でしょうか?
Morphisecの研究者は、ハッカーフォーラムで「Noodlophile」に関する言及を追跡しました。このマルウェアは、MaaS(マルウェア・アズ・ア・サービス)パッケージとして販売されています。多くの場合、「Get Cookie + Pass」というラベルの付いたツールがバンドルされており、ユーザーアカウントの乗っ取りに使用されます。
使用されている言語と、リンクされているFacebookおよびGitHubのプロフィールから、開発者はベトナム出身であると考えられます。GitHubでは、開発者は自らを「ベトナム出身の熱心なマルウェア開発者」と称しています。このアカウントは3月16日に作成されました。
安全を確保する方法
- 不明なAIツールのウェブサイトから実行ファイルをダウンロードしないでください。
- ファイル拡張子を確認してください。「video.mp4.exe」というファイルは危険信号です。
- ソーシャルメディアで見かける、あまりにも良すぎるAI関連のオファーには注意してください。
AIツールが普及するにつれ、サイバー犯罪者は急速に適応しています。このキャンペーンは、ハッカーがいかに簡単に新技��術に対する一般大衆の興奮を利用し、好奇心をセキュリティ上の悪夢に変えるかを示しています。