Se ha observado que los actores de amenaza aprovechan las herramientas falsas de inteligencia industrial (IA) como un señuelo para atraer a los usuarios a descargar un malware de robador de información doblado Emergencia.
«En espacio de aguardar en los sitios tradicionales de software de phishing o agrietados, construyen plataformas convincentes con temas de AI-AI, a menudo anunciadas a través de grupos de Facebook de aspecto permitido y campañas de redes sociales virales», dijo el investigador de Morphisec Shmuel Uzan en un documentación publicado la semana pasada.
Se ha antitético que las publicaciones compartidas en estas páginas atraen más de 62,000 vistas en una sola publicación, lo que indica que los usuarios que buscan herramientas de IA para la tiraje de videos e imágenes son el objetivo de esta campaña. Algunas de las páginas de redes sociales falsas identificadas incluyen Luma Dreammachine Al, Luma Dreammachine y Gatistuslibros.
Se insta a los usuarios que aterrizan en las publicaciones en las redes sociales a hacer clic en los enlaces que anuncian servicios de creación de contenido con AI, incluidos videos, logotipos, imágenes e incluso sitios web. Uno de los sitios web falsos se disfraza de Capcut AI, que ofrece a los usuarios un «editor de video todo en uno con nuevas funciones de IA».
Una vez que los usuarios desprevenidos cargan sus indicaciones de imagen o video en estos sitios, luego se les pide que descarguen el supuesto contenido generado por IA, momento en el que se descarga un archivo de cremallera maliciosa («videodreamai.zip») se descarga en su espacio.
Presente internamente del archivo hay un archivo engañoso llamado «Video Dream Machineai.mp4.exe» que inicia la esclavitud de infecciones lanzando un binario permitido asociado con el editor de video de Bytedance («Capcut.exe»). Este ejecutable basado en C ++ se usa para ejecutar un cargador basado en .NET llamado CapCutLoader que, a su vez, carga una carga útil de Python («srchost.exe») desde un servidor remoto.
El binario de Python allana el camino para el despliegue del robador de noodlophile, que viene con capacidades para cosechar credenciales del navegador, información de la billetera de criptomonedas y otros datos confidenciales. Las instancias seleccionadas asimismo han incluido el robador con un troyano de llegada remoto como Xworm para el llegada arraigado a los hosts infectados.
Se evalúa el desarrollador de Noodlophile como de origen vietnamita, quien, en su perfil de Github, afirma ser un «desarrollador de malware apasionado de Vietnam». La cuenta fue creada el 16 de marzo de 2025. Vale la pena señalar que la nación del sudeste oriental es el hogar de un próspero ecosistema de delitos cibernéticos que tiene un historial de distribución de varias familias de malware de robador dirigida a Facebook.
Los malos actores que arman el interés conocido en las tecnologías de IA para su preeminencia no es un engendro nuevo. En 2023, Meta dijo que eliminó más de 1,000 URL maliciosas de ser compartidas en sus servicios que aprovecharon el chatgpt de OpenAi como un atractivo para propagar a unas 10 familias de malware desde marzo de 2023.
La divulgación se produce cuando Cyfirma detalló otro nuevo PupkinStealer de su nombre en el nombre de Malware Based .NET que puede robar una amplia grado de datos de sistemas de Windows comprometidos y exfiltrarse a un bot de telegrama controlado por el atacante.
«Sin defensas anti-análisis específicas o mecanismos de persistencia, PupkinStealer depende de una ejecución directa y un comportamiento de bajo perfil para evitar la detección durante su operación», dijo la compañía de seguridad cibernética. «Pupkinstealer ejemplifica una forma simple pero efectiva de malware que roba datos que aprovecha los comportamientos comunes del sistema y las plataformas ampliamente utilizadas para exfiltrar la información confidencial».
