Se ha observado que actores de amenazas utilizan herramientas falsas impulsadas por inteligencia artificial (IA) como señuelo para incitar a los usuarios a descargar un malware ladrón de información denominado Noodlophile .
«En lugar de recurrir al phishing tradicional o a sitios web con software pirateado, crean plataformas convincentes con temática de IA, a menudo publicitadas a través de grupos de Facebook de apariencia legítima y campañas virales en redes sociales», afirmó el investigador de Morphisec, Shmuel Uzan, en un informe publicado la semana pasada.
Se ha descubierto que las publicaciones compartidas en estas páginas han recibido más de 62 000 visitas en una sola publicación, lo que indica que los usuarios que buscan herramientas de IA para la edición de vídeo e imágenes son el objetivo de esta campaña. Algunas de las páginas falsas en redes sociales identificadas incluyen Luma Dreammachine AI, Luma Dreammachine y gratistuslibros.
Se insta a los usuarios que acceden a las publicaciones en redes sociales a hacer clic en enlaces que anuncian servicios de creación de contenido con IA, como vídeos, logotipos, imágenes e incluso sitios web. Uno de los sitios web falsos se hace pasar por CapCut AI y ofrece a los usuarios un editor de vídeo todo en uno con nuevas funciones de IA.
Una vez que los usuarios desprevenidos cargan sus imágenes o videos en estos sitios, se les pide que descarguen el supuesto contenido generado por IA, momento en el que se descarga en su lugar un archivo ZIP malicioso («VideoDreamAI.zip»).
El archivo contiene un archivo engañoso llamado «Video Dream MachineAI.mp4.exe», que inicia la cadena de infección al ejecutar un binario legítimo asociado con el editor de vídeo de ByteDance («CapCut.exe»). Este ejecutable basado en C++ se utiliza para ejecutar un cargador basado en .NET llamado CapCutLoader que, a su vez, carga una carga útil de Python («srchost.exe») desde un servidor remoto.
El binario de Python allana el camino para la implementación de Noodlophile Stealer, que permite recopilar credenciales del navegador, información de la billetera de criptomonedas y otros datos confidenciales. Algunas instancias también han integrado el ladrón con un troyano de acceso remoto como XWorm para obtener acceso atrincherado a los hosts infectados.
Se considera que el desarrollador de Noodlophile es de origen vietnamita y, en su perfil de GitHub, afirma ser un «desarrollador apasionado de malware de Vietnam». La cuenta se creó el 16 de marzo de 2025. Cabe destacar que este país del sudeste asiático alberga un próspero ecosistema de ciberdelincuencia con un historial de distribución de diversas familias de malware ladrón dirigido a Facebook.
Que actores maliciosos aprovechen el interés público en las tecnologías de IA no es un fenómeno nuevo. En 2023, Meta afirmó haber eliminado más de 1000 URL maliciosas que se compartían entre sus servicios y que, desde marzo de 2023, utilizaban ChatGPT de OpenAI como señuelo para propagar unas 10 familias de malware.
La revelación llega cuando CYFIRMA detalló otra nueva familia de malware ladrón basado en .NET, con nombre en código PupkinStealer, que puede robar una amplia gama de datos de sistemas Windows comprometidos y exfiltrarlos a un bot de Telegram controlado por el atacante.
«Sin defensas antianálisis específicas ni mecanismos de persistencia, PupkinStealer se basa en una ejecución directa y un comportamiento discreto para evitar ser detectado durante su funcionamiento», declaró la empresa de ciberseguridad . «PupkinStealer ejemplifica una forma simple pero eficaz de malware de robo de datos que aprovecha comportamientos comunes del sistema y plataformas ampliamente utilizadas para exfiltrar información confidencial».
Fuente y redacción: thehackernews.com
