Se ha observado que los actores de amenaza aprovechan las herramientas falsas de inteligencia artificial (IA) como un señuelo para atraer a los usuarios a descargar un malware de robador de información doblado Noodlófilo.
“En lugar de confiar en los sitios tradicionales de software de phishing o agrietados, construyen plataformas convincentes con temas de AI-AI, a menudo anunciadas a través de grupos de Facebook de aspecto legítimo y campañas de redes sociales virales”, el investigador de Morphisec Shmuel Uzan dicho en un informe publicado la semana pasada.
Se ha encontrado que las publicaciones compartidas en estas páginas atraen más de 62,000 vistas en una sola publicación, lo que indica que los usuarios que buscan herramientas de IA para la edición de videos e imágenes son el objetivo de esta campaña. Algunas de las páginas de redes sociales falsas identificadas incluyen Luma Dreammachine Al, Luma Dreammachine y Gatistuslibros.
Se insta a los usuarios que aterrizan en las publicaciones en las redes sociales a hacer clic en los enlaces que anuncian servicios de creación de contenido con AI, incluidos videos, logotipos, imágenes e incluso sitios web. Uno de los sitios web falsos se disfraza de Capcut AI, que ofrece a los usuarios un “editor de video todo en uno con nuevas funciones de IA”.
Una vez que los usuarios desprevenidos cargan sus indicaciones de imagen o video en estos sitios, luego se les pide que descarguen el supuesto contenido generado por IA, momento en el que se descarga un archivo de cremallera maliciosa (“videodreamai.zip”) se descarga en su lugar.
Presente dentro del archivo hay un archivo engañoso llamado “Video Dream Machineai.mp4.exe” que inicia la cadena de infecciones lanzando un binario legítimo asociado con el editor de video de Bytedance (“Capcut.exe”). Este ejecutable basado en C ++ se usa para ejecutar un cargador basado en .NET llamado CapCutLoader que, a su vez, carga una carga útil de Python (“srchost.exe”) desde un servidor remoto.
El binario de Python allana el camino para el despliegue del robador de noodlophile, que viene con capacidades para cosechar credenciales del navegador, información de la billetera de criptomonedas y otros datos confidenciales. Las instancias seleccionadas también han incluido el robador con un troyano de acceso remoto como Xworm para el acceso arraigado a los hosts infectados.
Se evalúa el desarrollador de Noodlophile como de origen vietnamita, quien, en su perfil de Github, reclamos Ser un “desarrollador de malware apasionado de Vietnam”. La cuenta fue creada el 16 de marzo de 2025. Vale la pena señalar que la nación del sudeste asiático es el hogar de un próspero ecosistema de delitos cibernéticos que tiene un historial de distribución de varias familias de malware de robador dirigida a Facebook.
Los malos actores que arman el interés público en las tecnologías de IA para su ventaja no es un fenómeno nuevo. En 2023, Meta dijo que eliminó más de 1,000 URL maliciosas de ser compartidas en sus servicios que aprovecharon el chatgpt de OpenAi como un atractivo para propagar a unas 10 familias de malware desde marzo de 2023.
La divulgación se produce cuando Cyfirma detalló otro nuevo PupkinStealer de su nombre en el nombre de Malware Based .NET que puede robar una amplia gama de datos de sistemas de Windows comprometidos y exfiltrarse a un bot de telegrama controlado por el atacante.
“Sin defensas anti-análisis o mecanismos de persistencia específicos, PupkinStealer depende de una ejecución directa y un comportamiento de bajo perfil para evitar la detección durante su operación”, la compañía de seguridad cibernética dicho. “Pupkinstealer ejemplifica una forma simple pero efectiva de malware que roba datos que aprovecha los comportamientos comunes del sistema y las plataformas ampliamente utilizadas para exfiltrar la información confidencial”.
About the Author
