Gefälschte KI-Tools verbreiten Noodlophile-Malware über Facebook

MÜNCHEN (IT BOLTWISE) – In der digitalen Welt, in der Künstliche Intelligenz zunehmend an Bedeutung gewinnt, nutzen Cyberkriminelle diese Technologie auf perfide Weise aus. Eine neue Malware-Kampagne, die als Noodlophile bekannt ist, hat es auf über 62.000 Nutzer abgesehen, indem sie gefälschte KI-Tools als Köder verwendet.

Die jüngste Bedrohung in der Cyberwelt zeigt, wie geschickt Angreifer die Faszination für Künstliche Intelligenz ausnutzen. Anstatt auf herkömmliche Phishing-Methoden oder manipulierte Software-Websites zu setzen, haben die Täter überzeugende Plattformen mit KI-Themen erstellt. Diese werden oft über scheinbar legitime Facebook-Gruppen und virale Social-Media-Kampagnen beworben, wie ein Bericht von Morphisec-Forscher Shmuel Uzan zeigt.

Die Beiträge auf diesen Seiten ziehen eine beträchtliche Anzahl von Nutzern an, die nach KI-Tools für Video- und Bildbearbeitung suchen. Zu den identifizierten gefälschten Social-Media-Seiten gehören Luma Dreammachine Al, Luma Dreammachine und gratistuslibros. Nutzer, die auf diese Beiträge stoßen, werden aufgefordert, auf Links zu klicken, die KI-gestützte Inhalte wie Videos, Logos, Bilder und sogar Websites bewerben. Eine der betrügerischen Websites gibt sich als CapCut AI aus und bietet den Nutzern einen “All-in-One-Videoeditor mit neuen KI-Funktionen” an.

Wenn ahnungslose Nutzer ihre Bild- oder Videovorgaben auf diesen Seiten hochladen, werden sie aufgefordert, die angeblich KI-generierten Inhalte herunterzuladen. An diesem Punkt wird stattdessen ein bösartiges ZIP-Archiv (“VideoDreamAI.zip”) heruntergeladen. In der Datei befindet sich eine trügerische Datei namens “Video Dream MachineAI.mp4.exe”, die die Infektionskette durch das Starten einer legitimen Binärdatei von ByteDance’s Videoeditor (“CapCut.exe”) einleitet. Diese C++-basierte ausführbare Datei wird verwendet, um einen .NET-basierten Loader namens CapCutLoader auszuführen, der letztendlich eine Python-Nutzlast (“srchost.exe”) von einem Remote-Server lädt.

Das Python-Binary ebnet den Weg für die Bereitstellung des Noodlophile Stealers, der in der Lage ist, Browser-Anmeldedaten, Kryptowährungs-Wallet-Informationen und andere sensible Daten zu sammeln. In einigen Fällen wurde der Stealer auch mit einem Remote-Access-Trojaner wie XWorm gebündelt, um einen dauerhaften Zugriff auf die infizierten Hosts zu ermöglichen.

Der Entwickler von Noodlophile wird als vietnamesischen Ursprungs eingeschätzt, der auf seinem GitHub-Profil angibt, ein “leidenschaftlicher Malware-Entwickler aus Vietnam” zu sein. Das Konto wurde am 16. März 2025 erstellt. Es ist bemerkenswert, dass die südostasiatische Nation eine florierende Cyberkriminalitätslandschaft beherbergt, die eine Geschichte der Verbreitung verschiedener Stealer-Malware-Familien hat, die auf Facebook abzielen.

Die Offenlegung erfolgt zu einem Zeitpunkt, an dem CYFIRMA eine weitere neue .NET-basierte Stealer-Malware-Familie namens PupkinStealer detailliert beschrieben hat, die eine breite Palette von Daten von kompromittierten Windows-Systemen stehlen und an einen von Angreifern kontrollierten Telegram-Bot exfiltrieren kann. “Ohne spezifische Anti-Analyse-Abwehrmechanismen oder Persistenzmechanismen hängt PupkinStealer von einer einfachen Ausführung und einem unauffälligen Verhalten ab, um während seines Betriebs unentdeckt zu bleiben”, so das Cybersicherheitsunternehmen. “PupkinStealer ist ein einfaches, aber effektives Beispiel für eine Daten-stehlende Malware, die gängige Systemverhaltensweisen und weit verbreitete Plattformen nutzt, um sensible Informationen zu exfiltrieren.”

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!