新闻中心

据观察，威胁行为者利用虚假的人工智能 （AI） 驱动的工具作为诱饵，诱使用户下载名为 Noodlophile 的恶意软件。

“他们不依赖传统的网络钓鱼或破解软件网站，而是构建了令人信服的人工智能主题平台——通常通过看起来合法的 Facebook 群组和病毒式社交媒体活动进行广告宣传，”Morphisec 研究员 Shmuel Uzan 在上周发布的一份报告中说 。

发现在这些页面上分享的帖子在单个帖子上吸引了超过 62,000 次浏览，这表明寻找 AI 工具进行视频和图像编辑的用户是该活动的目标。发现的一些虚假社交媒体页面包括 Luma Dreammachine Al、Luma Dreammachine 和 gratistuslibros。

敦促登陆社交媒体帖子的用户点击宣传 AI 驱动的内容创建服务的链接，包括视频、徽标、图像甚至网站。其中一个虚假网站伪装成 CapCut AI，为用户提供“具有新 AI 功能的一体化视频编辑器”。

一旦毫无戒心的用户在这些网站上上传他们的图像或视频提示，他们就会被要求下载假定的 AI 生成的内容，此时会下载恶意 ZIP 存档（“VideoDreamAI.zip”）。

该文件中存在一个名为“Video Dream MachineAI.mp4.exe”的欺骗性文件，它通过启动与字节跳动视频编辑器（“CapCut.exe”）关联的合法二进制文件来启动感染链。此基于 C++ 的可执行文件用于运行 .名为 CapCutLoader 的基于 NET 的加载程序，反过来，它最终从远程服务器加载 Python 有效负载（“srchost.exe”）。

Python 二进制文件为 Noodlophile Stealer 的部署铺平了道路，它具有收集浏览器凭据、加密货币钱包信息和其他敏感数据的功能。某些实例还将窃取程序与 XWorm 等远程访问木马捆绑在一起，以实现对受感染主机的根深蒂固的访问。

Noodlophile 的开发者被评估为越南裔，他在他们的 GitHub 个人资料中声称自己是“来自越南的热情恶意软件开发者”。该帐户创建于 2025 年 3 月 16 日。值得指出的是，这个东南亚国家拥有一个繁荣的网络犯罪生态系统 ，该生态系统有分发针对 Facebook 的各种窃取恶意软件家族的历史。

不良行为者将公众对 AI 技术的兴趣作为武器以谋取利益并不是什么新现象。2023 年，Meta 表示，自 2023 年 3 月以来，它从其服务之间共享的 1,000 多个恶意 URL 中撤下了这些 URL，这些 URL 被发现利用 OpenAI 的 ChatGPT 作为诱饵传播了大约 10 个恶意软件系列。

披露之际，CYFIRMA 详细介绍了另一项新的 .代号为 PupkinStealer 的基于 NET 的窃取恶意软件系列，可以从受感染的 Windows 系统中窃取大量数据，并将其泄露给攻击者控制的 Telegram 机器人。

“由于没有特定的反分析防御或持久性机制，PupkinStealer 依靠简单的执行和低调的行为来避免在其运行过程中被发现，”这家网络安全公司表示 。“PupkinStealer 体现了一种简单而有效的数据窃取恶意软件形式，它利用常见的系统行为和广泛使用的平台来泄露敏感信息。”