假冒的人工智能視頻生成工具正被用來傳播一種新的竊取信息的惡意軟件，名為“Noodlophile”，它以生成的媒體內容為幌子。

這些網站使用“Dream Machine”等名字，并在Facebook上的高知名度群組中做廣告，冒充先進的人工智能工具，根據上傳的用戶文件生成視頻。

盡管使用人工智能工具來傳播惡意軟件并不是一個新概念，而且已經被經驗豐富的網絡犯罪分子所采用，但Morphisec最新活動的發現為這一組合引入了一個新的信息殺手。

根據Morphisec的說法，“Noodlophile”是在暗網論壇上出售的，通常與“Get Cookie + Pass”服務捆綁在一起，所以這是一種新的惡意軟件即服務，與講越南語的運營商有關。

Facebook廣告將用戶帶到惡意網站

多級感染鏈

一旦受害者訪問惡意網站并上傳他們的文件，他們就會收到一個ZIP檔案，其中應該包含人工智能生成的視頻。

相反，ZIP包含一個看似可執行文件（Video Dream machinai .mp4.exe），以及一個隱藏文件夾，其中包含后續階段所需的各種文件。如果Windows用戶禁用了文件擴展名（永遠不要這樣做），那么一眼望去，它看起來就像一個MP4視頻文件。

“Video Dream MachineAI.mp4.exe文件是一個32位的c++應用程序，使用通過Winauth創建的證書進行簽名，”Morphisec解釋說。

盡管它的名字具有誤導性（暗示是一個mp4視頻），但這個二進制文件實際上是CapCut的改版版本，CapCut是一個合法的視頻編輯工具（版本445.0）。這種欺騙性的命名和證書幫助它逃避用戶的懷疑和一些安全解決方案。

DreamMachine網站放棄了有效載荷

雙擊假MP4將執行一系列可執行文件，最終啟動批處理腳本（Document.docx/install.bat）。

該腳本使用合法的Windows工具“certutil.exe”解碼并提取base64編碼的密碼保護的RAR存檔，冒充PDF文檔。同時，它還為持久化添加了一個新的Registry鍵。

接下來，腳本執行‘srchost.exe ’，它運行一個從硬編碼的遠程服務器地址獲取的混淆的Python腳本（randomuser2025.txt），最終在內存中執行noodle lophile Stealer。

如果在受感染的系統上檢測到Avast，則使用PE掏空將有效載荷注入RegAsm.exe。否則，將使用shellcode注入在內存中執行。

完整的執行鏈

noodle lophile是一種新的信息竊取惡意軟件，其目標是存儲在web瀏覽器上的數據，如帳戶憑據、會話cookie、令牌和加密貨幣錢包文件。

Noodlophile代表了惡意軟件生態系統的新成員。以前在公共惡意軟件跟蹤或報告中沒有記錄，這種竊取程序結合了瀏覽器憑證盜竊、錢包泄露和可選的遠程訪問部署。

被竊取的數據是通過電報機器人泄露的，它作為一個秘密的命令和控制（C2）服務器，讓攻擊者實時訪問被盜的信息。

在某些情況下，Noodlophile與XWorm（一種遠程訪問木馬）捆綁在一起，使攻擊者能夠提升數據竊取能力，遠遠超出了信息竊取器所提供的被動竊取能力。

防止惡意軟件的最好方法是避免從未知網站下載和執行文件。在打開前一定要驗證文件擴展名，并在執行前用最新的防病毒工具掃描所有下載的文件。

參考及來源：https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-drop-new-noodlophile-infostealer-malware/