Hackeri našli novú cestu, ako sa ti dostať do zariadenia. Takto začali kradnúť údaje používateľov a zneužívať ich
Útočníci zneužívajú popularitu AI nástrojov a šíria nebezpečný malvér cez falošné weby ako „Dream Machine“. Namiesto videa si obete stiahnu sofistikovaný vírus, ktorý kradne heslá, údaje a umožňuje vzdialený prístup k počítaču.
Umelá inteligencia (AI) je v súčasnosti v kurze a milióny ľudí denne využívajú nástroje na tvorbu obrázkov, videí alebo hudby predovšetkým prostredníctvom ChatGPT. Tento trend si však začali všímať aj kyberzločinci.
Útočníci využívajú rastúci záujem verejnosti, tak prišli s novým druhom útoku. Vraví sa, že útočník je jeden až dva kroky pred potenciálnou obeťou. Namiesto klasického phishingu alebo distribúciou malvéru prostredníctvom pirátskych programov, čo bolo doménou po rozvoji internetu, začali útočníci vytvárať falošné weby a aplikácie. Tie sa tvária ako pokročilé AI platformy. Tento druh útokov je doslova masívny. Tieto platformy používateľom sľubujú, že premenia ich fotografie na videá alebo vytvoria umelecké diela. V skutočnosti však slúžia na šírenie malvéru a krádež citlivých údajov.
Ako prebieha útok Noodlophile Stealer
Celý útok začína na sociálnych sieťach. Primárnym cieľom je najmä Facebook. V skupinách, ktoré pôsobia dôveryhodne a majú tisíce členov a zobrazení, sú zdieľané príspevky propagujúce nástroje ako napríklad „Dream Machine“ alebo „AI Video Generator“.
Používateľ následne klikne na odkaz, nahrá fotografiu a čaká na výsledné video, ktoré mu má byť vygenerované. Namiesto toho mu stránka ponúkne na stiahnutie súbor. Na prvý pohľad sa zdá, že ide o video, no v skutočnosti však ide o infikovaný program. V niektorých prípadoch sú útoky tak sofistikované, že dokonca človek stiahne vygenerované video ale doplnené o nejaký ten „bonus“.
Súbor má zavádzajúci názov ako napr. Video Dream MachineAI.mp4.exe, čo má vytvoriť dojem, že ide o video súbor. Hneď na prvý pohlaď vidíš, okrem kontajnera mp4 pre video, je tam aj executable prípona, čo je vo Windowse vlastne spustiteľný .exe súbor.
Neprehliadni
V konkrétnom prípade sa po spustení nainštaluje malvér s názvom Noodlophile Stealer. Tento nástroj bol doteraz neznámy a je špeciálne navrhnutý na krádež prihlasovacích údajov z prehliadačov. To však nie je všetko. Okrem prístupových tokenov, súborov, kryptomenových peňaženiek sa v niektorých prípadoch inštaluje aj vzdialený prístup (tzv. trojan XWorm), ktorý umožňuje útočníkovi ovládať infikovaný počítač na diaľku.
Ako je malvér ukrytý
Celá útočná schéma je premyslene zakamuflovaná. Infikovaný súbor je veľký okolo 140 MB, aby vyzeral ako bežný softvér, v tomto prípade upravená verzia obľúbeného videoeditora CapCut. Malvér sa dokáže neuveriteľne sofistikovane skryť pred antivírusmi. Bližší popis nájdeš na stránke morphisec.com. Celá analýza útoku je dostupná v tomto dokumente.
Súčasťou upraveného softvéru je viacero komponentov a vrstiev, vrátane špeciálne upraveného DLL súboru (AICore.dll), ďalej rôznych šifrovaných archívov, skriptov a tzv. loaderov, ktoré postupne aktivujú ďalšie časti infekcie.
Medzi nimi napríklad:
- Document.docx – v skutočnosti bat súbor maskovaný ako Word dokument,
- Document.pdf – zakódovaný RAR archív, ktorý obsahuje komponenty v Pythone,
- images.exe – renaming WinRAR extraktor,
- srchost.exe – finálny spúšťač Python kódu s malvérom.
… a ďalšie ako meta file, randomuser2025.txt.
Pythonový proces premenuje document.docx na install.bat a meta na image.exe, čím vytvára spustiteľné súbory. Celý proces využíva aj legitímne nástroje Windows, napríklad certutil.exe, ktoré slúžia na dekódovanie archívov a inštaláciu ďalších komponentov.
Súbor AICore.dll je relatívne jednoduchá knižnica DLL (dynamic-link library), ktorej hlavnou úlohou je pomáhať pri vykonávaní systémových príkazov. Jeho primárnym účelom v tejto kampani je podporovať spúšťanie príkazov v systéme, ktoré iniciujú iné komponenty, ako napríklad CapCutLoader.
Ako sa zabezpečuje pretrvávajúca prítomnosť
Po úspešnej infekcii systém vytvorí trvalý zápis do registrov Windows, ktorý zabezpečí, že malvér sa spustí aj po reštarte zariadenia. Okrem toho sa snaží minimalizovať svoje stopy, odstraňuje dočasné súbory a skripty, ktoré boli použité počas inštalácie. Pretože je možné, že by ho antivírus už dokázal identifikovať. V niektorých prípadoch sa útočníci spoliehajú aj na komunikáciu cez Telegram, ktorým posielajú ukradnuté údaje a ovládajú ďalšie činnosti malvéru.
Kto za tým stojí?
Noodlophile Stealer sa objavil na viacerých kyberzločineckých fórach. Asi nevieš, ale už aj malvér sa dá kupovať a predávať ako služba. Má to aj doslovný názov tzv. Malware-as-a-Service (MaaS). Našli sa odkazy vedúce na vývojára zrejme vietnamského pôvodu, ktorý tento nástroj propaguje cez sociálne siete. Tieto osoby ponúkajú nielen samotný malvér, ale aj „balíčky“ ako „Get Cookie + Pass“, určené na krádež účtov.
Tento typ útoku je nebezpečný najmä preto, že cieli na bežných používateľov, ktorí nie sú technicky zdatní. Primárne útočí na najmä marketérov, kreatívcov a menšie firmy alebo začínajúcich freelancerov, ktorí hľadajú bezplatné AI nástroje. Práve dôvera v moderné technológie sa v tomto prípade stáva zbraňou proti nim.
Komentáre