Noodlophile Stealer
サイバー犯罪者は、AI搭載ツールの需要の高まりを巧みに利用し、ユーザーを誘い込んで危険な情報窃取マルウェア「Noodlophile」をダウンロードさせる、説得力のある偽のプラットフォームを作成しています。従来のフィッシング詐欺やクラッキングされたソフトウェア配布サイトとは異なり、これらの犯罪者は本物のように見えるAIをテーマにしたウェブサイトを作成し、ソーシャルメディアキャンペーンやFacebookグループを通じて拡散しています。
目次
ソーシャルメディアを介したソーシャルエンジニアリング
これらの偽キャンペーンはソーシャルプラットフォーム上で巧妙に拡散されており、投稿によっては62,000回以上の閲覧数を獲得しています。これらのページは実際のAIコンテンツ作成サービスを装い、動画や画像編集ツールを求めるユーザーを狙っています。注目すべき偽プロフィールには、「Luma Dreammachine Al」、「Luma Dreammachine」、「gratistuslibros」などがあります。
信じ難いほど素晴らしい:AIの罠
ユーザーが投稿に反応すると、動画、画像、ロゴ、ウェブサイトを作成するためのAI強化サービスだと偽ってダウンロードするように誘導されます。ある詐欺サイトはCapCut AIを模倣し、高度なAI機能を備えたオールインワンの動画編集ツールを提供していると主張しています。
感染連鎖の始まり
メディアプロンプトをアップロードすると、ユーザーはAIが生成した出力をダウンロードするよう促されます。しかし、コンテンツを受け取る代わりに、ユーザーは知らないうちに「VideoDreamAI.zip」という悪意のあるZIPアーカイブをダウンロードしてしまいます。中には、偽装された実行ファイル「Video Dream MachineAI.mp4.exe」が含まれています。このファイルを実行すると、ByteDanceの正規のCapCut.exeが起動するなど、連鎖反応が引き起こされます。
この正規のバイナリは、CapCutLoader という .NET ベースのコンポーネントをロードするための煙幕として機能し、その後、リモート サーバーから Python ベースのペイロード (srchost.exe) を取得して実行します。
ペイロード:ヌードルフィールとその先へ
最終的なペイロードはNoodlophile Stealerです。これは、ブラウザの認証情報、暗号通貨ウォレットのデータ、その他の機密情報を盗み出すマルウェアです。一部の亜種では、このStealerはXWormなどのリモートアクセス型トロイの木馬(RAT)と併用され、被害者のデバイスを永続的に制御することを可能にします。
公の顔を持つマルウェア作成者
Noodlophileの開発は、ベトナムを拠点とすると思われる個人によるものであることが判明しました。GitHub上で「ベトナム出身の熱心なマルウェア開発者」を自称するこの開発者は、2025年3月16日にプロフィールを作成しました。ベトナムはサイバー犯罪活動のホットスポットとして浮上しており、特にFacebookなどのプラットフォームを標的とするスティーラーマルウェアが活発に活動しています。
AIが新たなマルウェアの餌となる
人工知能(AI)への人々の関心を悪用することは、今に始まったことではありません。2023年、MetaはOpenAIのChatGPTを偽装した1,000件以上の悪質なURLを削除したと報告しました。これらのリンクは、2023年3月以降、少なくとも10種類のマルウェアファミリーの拡散に使用されており、AIを題材にした詐欺がサイバー犯罪者の強力な武器として依然として使用されていることを示しています。
