Las herramientas de generación de falsos videos, impulsadas por IA, se están utilizando para distribuir una nueva familia de malware que roba información llamada ‘Noodlophile’, bajo la apariencia de contenido multimedia generado.
Los sitios web utilizan nombres atractivos como «Dream Machine» y se anuncian en grupos de alta visibilidad en Facebook, haciéndose pasar por herramientas avanzadas de IA que generan videos basados en los archivos de usuario cargados.
Aunque el uso de herramientas de IA para distribuir malware no es un concepto nuevo y ha sido adoptado por ciberdelincuentes experimentados, el descubrimiento de la última campaña de Morphisec introduce un nuevo Stealer de información en el panorama de amenazas. A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Una vez que la víctima visita el sitio web malicioso y carga sus archivos, recibe un archivo ZIP que se supone que contiene un video generado por IA. En su lugar, el ZIP contiene un ejecutable con un nombre engañoso (Video Dream MachineAI.mp4.exe) y una carpeta oculta con varios archivos necesarios para las etapas posteriores. Si un usuario de Windows tiene las extensiones de archivo deshabilitadas (nunca haga eso), a simple vista, parecería un archivo de video MP4. Al hacer doble clic en el MP4 falso, se ejecutará una serie de ejecutables que eventualmente lanzarán un script por lotes (Document.docx/install.bat).
A continuación, el script ejecuta ‘srchost.exe’, que ejecuta un script de Python ofuscado (randomuser2025.txt) obtenido de una dirección de servidor remoto codificada, y finalmente ejecuta el Noodlophile Stealer en la memoria.
