Noodlophile恶意软件借AI视频生成工具之名进行传播扩散

假冒的人工智能视频生成工具正被用来传播一种新的窃取信息的恶意软件，名为 "Noodlophile"，它以生成的媒体内容为幌子。

这些网站使用 "Dream Machine" 等名字，并在 Facebook 上的高知名度群组中做广告，冒充先进的人工智能工具，根据上传的用户文件生成视频。

尽管使用人工智能工具来传播恶意软件并不是一个新概念，而且已经被经验丰富的网络犯罪分子所采用，但 Morphisec 最新活动的发现为这一组合引入了一个新的信息杀手。

根据 Morphisec 的说法，"Noodlophile" 是在暗网论坛上出售的，通常与 "Get Cookie + Pass" 服务捆绑在一起，所以这是一种新的恶意软件即服务，与讲越南语的运营商有关。

Facebook 广告将用户带到恶意网站

多级感染链

一旦受害者访问恶意网站并上传他们的文件，他们就会收到一个 ZIP 档案，其中应该包含人工智能生成的视频。

相反，ZIP 包含一个看似可执行文件（Video Dream machinai .mp4.exe），以及一个隐藏文件夹，其中包含后续阶段所需的各种文件。如果 Windows 用户禁用了文件扩展名（永远不要这样做），那么一眼望去，它看起来就像一个 MP4 视频文件。

"Video Dream MachineAI.mp4.exe 文件是一个 32 位的 c++ 应用程序，使用通过 Winauth 创建的证书进行签名，"Morphisec 解释说。

尽管它的名字具有误导性（暗示是一个 mp4 视频），但这个二进制文件实际上是 CapCut 的改版版本，CapCut 是一个合法的视频编辑工具（版本 445.0）。这种欺骗性的命名和证书帮助它逃避用户的怀疑和一些安全解决方案。

DreamMachine 网站放弃了有效载荷

双击假 MP4 将执行一系列可执行文件，最终启动批处理脚本（Document.docx/install.bat）。

该脚本使用合法的 Windows 工具 "certutil.exe" 解码并提取 base64 编码的密码保护的 RAR 存档，冒充 PDF 文档。同时，它还为持久化添加了一个新的 Registry 键。

接下来，脚本执行‘ srchost.exe ’，它运行一个从硬编码的远程服务器地址获取的混淆的 Python 脚本（randomuser2025.txt），最终在内存中执行 noodle lophile Stealer。

如果在受感染的系统上检测到 Avast，则使用 PE 掏空将有效载荷注入 RegAsm.exe。否则，将使用 shellcode 注入在内存中执行。

完整的执行链

noodle lophile 是一种新的信息窃取恶意软件，其目标是存储在 web 浏览器上的数据，如帐户凭据、会话 cookie、令牌和加密货币钱包文件。

Noodlophile 代表了恶意软件生态系统的新成员。以前在公共恶意软件跟踪或报告中没有记录，这种窃取程序结合了浏览器凭证盗窃、钱包泄露和可选的远程访问部署。

被窃取的数据是通过电报机器人泄露的，它作为一个秘密的命令和控制（C2）服务器，让攻击者实时访问被盗的信息。

在某些情况下，Noodlophile 与 XWorm（一种远程访问木马）捆绑在一起，使攻击者能够提升数据窃取能力，远远超出了信息窃取器所提供的被动窃取能力。

防止恶意软件的最好方法是避免从未知网站下载和执行文件。在打开前一定要验证文件扩展名，并在执行前用最新的防病毒工具扫描所有下载的文件。