Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Стилер Noodlophile распространяется через фальшивые ИИ-инструменты (http://txgate.io:443/showthread.php?t=51297317)

WWW 05-26-2025 12:05 PM
<div id="post_message_791236">

ИБ-специалисты <a href="https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/" target="_blank">Morphisec </a>обнаружили, что мошенники используют фейковые ИИ-инструменты, чтобы побудить пользователей загружать инфостилер Noodlophile.<br/>
<br/>
По словам исследователей, сайты с названиями вроде Dream Machine активно рекламируются в социальных сетях, и мошенники выдают их за продвинутые ИИ-инструменты, которые генерируют видео на основе загруженных файлов. Такие сообщения собирают более 62 000 просмотров на один пост, и целью этой кампании являются пользователи, ищущие ИИ-инструменты для редактирования видео и изображений.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512096/site1.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Фальшивый сайт

</td>
</tr>
</table>
</div>Новый стилер Noodlophile связывают с операторами из Вьетнама. Вредонос продается в даркнете по схеме malware-as-a-service («малварь-как-услуга») и зачастую поставляется в комплекте с сервисами Get Cookie + Pass.<br/>
<br/>
Когда жертва посещает фальшивый ИИ-сайт и загружает свои файлы для генерации видео, в ответ она получает ZIP-архив, который якобы содержит готовый ролик, сгенерированный ИИ.<br/>
<br/>
На самом деле этот архив содержит исполняемый файл с вводящим в заблуждение названием (Video Dream MachineAI.mp4.exe) и скрытую папку с различными файлами, необходимыми для последующих этапов атаки. Если у пользователя Windows отключено отображение расширений файлов, все выглядит как обычный видеофайл в формате MP4.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Файл Video Dream MachineAI.mp4.exe представляет собой 32-битное приложение, написанное на C++ и подписанное с помощью сертификата, созданного через Winauth, — поясняет Morphisec. — Несмотря на вводящее в заблуждение название (предполагающее наличие видео в формате .mp4), этот бинарник на самом деле представляет собой модифицированную версию CapCut, легитимного инструмента для редактирования видео (версия 445.0). Такое обманчивое название и сертификат помогают ему избежать подозрений со стороны пользователей и уклониться от некоторых защитных решений».</font>
</td>
</tr>
</table>
</div>Открытие поддельного файла MP4 приводит к запуску ряда исполняемых файлов, которые в итоге запускают batch-скрипт Document.docx/install.bat.<br/>
<br/>
Этот скрипт использует легитимный Windows-инструмент certutil.exe для декодирования Base64 и извлечения защищенного паролем RAR-архива, выдаваемого за PDF-документ. Вместе с этим он добавляет в реестр новый ключ для закрепления в системе.<br/>
<br/>
После скрипт запускает файл srchost.exe, который выполняет обфусцированный Python-скрипт (randomuser2025.txt), полученный с жестко закодированного адреса удаленного сервера. В результате в памяти выполняется стилер Noodlophile.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512096/VideoDream_AI_Diagram_5.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Схема атаки

</td>
</tr>
</table>
</div>Если на зараженной системе обнаружен работающий Avast, то для внедрения полезной нагрузки в RegAsm.exe используется PE hollowing. В противном случае для выполнения в памяти используется инъекция шеллкода.<br/>
<br/>
Основной целью стилера Noodlophile являются данные, хранящиеся в браузерах, включая учетные данные, файлы cookie, сессий, токены и данные криптовалютных кошельков.<br/>
<br/>
Все похищенные данные передаются Telegram-боту, который выполняет роль скрытого управляющего сервера, предоставляя злоумышленникам доступ к похищенной информации в режиме реального времени.<br/>
<br/>
Отмечается, что в некоторых случаях Noodlophile распространяется вместе с трояном удаленного доступа XWorm, что предоставляет злоумышленникам более широкие возможности для кражи данных.<br/>
<br/>
<a href="https://xakep.ru/2025/05/13/noodlophile/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 07:05 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.