Gần đây, các nhóm tội phạm mạng đã bị phát hiện lợi dụng các nền tảng AI giả mạo để phát tán một loại mã độc có tên 'Noodlophile', nhằm đánh cắp thông tin người dùng. Thay vì sử dụng phương thức lừa đảo truyền thống, các nhóm này xây dựng các nền tảng mang chủ đề AI, được quảng bá qua các nhóm Facebook giả mạo trông rất chính thống và qua các chiến dịch phổ biến trên mạng xã hội.
Theo báo cáo từ nhà nghiên cứu Shmuel Uzan của Morphisec, các bài đăng trên mạng xã hội này đã thu hút hơn 62.000 lượt xem. Điều này cho thấy nhóm tội phạm đang nhắm đến người dùng tìm kiếm công cụ AI chỉnh sửa video và hình ảnh. Một số trang Facebook giả mạo được xác định như 'Luma Dreammachine Al', 'Luma Dreammachine', và 'gratistuslibros'.
Người dùng khi truy cập các bài đăng này sẽ được dẫn dụ bấm vào liên kết quảng cáo dịch vụ tạo nội dung bằng AI như video, logo, hình ảnh và website. Một trang web giả mạo nổi bật được phát hiện mang tên CapCut AI, tự nhận là 'trình chỉnh sửa video toàn diện với tính năng AI mới'. Khi người dùng tải lên hình ảnh hoặc video theo yêu cầu của trang, họ sẽ phải tải về một tệp ZIP độc hại có tên 'VideoDreamAI.zip'.
Bên trong tệp ZIP này là một tệp giả video 'Video Dream MachineAI.mp4.exe'. Khi mở tệp này, chuỗi lây nhiễm sẽ kích hoạt một tệp hợp pháp liên quan đến CapCut của ByteDance mang tên 'CapCut.exe'. Đây là một tệp thực thi C++ dùng để chạy một nạp mã độc .NET mang tên 'CapCutLoader'. 'CapCutLoader' sau đó tải xuống một tập tin Python độc hại 'srchost.exe' từ máy chủ điều khiển từ xa.
Mã độc Python này mở đường cho việc cài đặt Noodlophile Stealer, một phần mềm độc hại có khả năng thu thập thông tin đăng nhập trình duyệt, dữ liệu ví điện tử và các thông tin nhạy cảm khác. Trong một số trường hợp, 'Noodlophile' còn đi kèm với trojan truy cập từ xa như XWorm, cho phép hacker điều khiển máy tính của nạn nhân từ xa.
Morphisec nhận định rằng nhà phát triển của 'Noodlophile' có khả năng xuất thân từ Đông Nam Á, nơi nổi tiếng với các hoạt động tội phạm mạng nhắm vào người dùng Facebook. Việc lợi dụng sự quan tâm đến công nghệ AI để phát tán mã độc không phải mới. Năm 2023, Meta đã gỡ hơn 1.000 đường dẫn độc hại sử dụng ChatGPT làm mồi nhử để phát tán mã độc.
Cùng lúc với báo cáo của Morphisec, CYFIRMA cũng công bố về mã độc mới tên 'PupkinStealer', dựa trên .NET, có khả năng đánh cắp dữ liệu từ các hệ thống Windows bị xâm nhập, gửi về cho kẻ tấn công qua bot Telegram. CYFIRMA nhận định rằng 'PupkinStealer' là ví dụ điển hình của mã độc đơn giản nhưng hiệu quả, khai thác hành vi hệ thống phổ biến để lấy cắp thông tin nhạy cảm.
Trong bối cảnh công nghệ AI bùng nổ, các nhóm tội phạm mạng đang tạo ra những mối đe dọa ngày càng tinh vi. Người dùng cần cảnh giác khi truy cập vào các liên kết hoặc tải phần mềm từ nguồn không đáng tin cậy, đặc biệt là công cụ AI miễn phí hoặc có tính năng bất thường. Việc cập nhật phần mềm bảo mật và kiểm tra kỹ trước khi cài đặt sẽ giúp người dùng giảm nguy cơ trở thành nạn nhân của mã độc như 'Noodlophile' hay 'PupkinStealer'.