Наш канал в Telegram — подпишитесь и будьте в курсе новостей
Злоумышленники распространяют вредоносные фейковые сервисы генерации видео на базе искусственного интеллекта для распространения инфостилера Noodlophile. Под видом «умных» нейросервисов, таких как видеосервис Dream Machine, вредонос распространяется через рекламные объявления в популярных Facebook-группах.
Киберэксперт лаборатории стратегического развития продуктов кибербезопасности компании «Газинформсервис» Михаил Спицын предупреждает, что защита от подобных угроз не ограничивается рекомендациями по включению в настройках Windows отображения расширений файлов. «Никогда не скачивайте файлы с сайтов без авторитетного подтверждения и избегайте предложений «уникального» контента в социальных сетях», — подчеркнул эксперт.
Михаил Спицын объяснил механизм атаки: «Пользователь, ожидая получить сгенерированное видео, вместо этого скачивал ZIP-архив, в котором находился исполняемый файл ‘Video Dream MachineAI.mp4.exe’ — 32-битное приложение на C++, подписанное поддельным сертификатом Winauth и замаскированное под популярный видеоредактор CapCut. При запуске этот файл через BAT-скрипт и встроенную утилиту Windows ‘certutil.exe’ извлекает зашифрованный архив, замаскированный под PDF, прописывает в реестре ключ автозапуска и скрытно запускает ‘srchost.exe’. Последний обращается к удалённому серверу, загружает зашифрованный Python-скрипт ‘randomuser2025.txt’ и исполняет его в памяти — данный скрипт является основным компонентом нового инфостилераNoodlophile».
Находясь в системе Avast, вредонос применяет технику PE-hollowing, внедряясь в легитимный процесс RegAsm.exe; в остальных случаях используется инъекция шелл-кода. «NoodlophileStealer автоматически собирает из браузеров сохранённые логины, сессионные cookies, токены и файлы криптовалютных кошельков, а затем передаёт украденные данные через Telegram-бота, выступающего в роли скрытого управляющего сервером. В некоторых версиях к комплекту инфостилера присоединяется RAT-модуль XWorm, обеспечивающий злоумышленникам полный удалённый доступ к системе», — поясняет эксперт.
По данным исследователей Morphisec, впервые зафиксировавших этот вредонос, атака распространяется в формате malware-as-a-service, а операторы, судя по фрагментам кода и инфраструктуры, говорят на вьетнамском языке.
«В корпоративной среде сотрудники часто сталкиваются с необходимостью загрузки каких-либо файлов, необязательно даже изощрённых. Впрочем, те, кто чаще всего работает с дизайном и/или нейросетями, подвержены таким атакам в большей степени. Не исключено, что по невнимательности такие сотрудники всё же попадутся на уловку. Для уменьшения риска быть заражённым рекомендуется использовать связку решений RBI+SIEM. Ankey RBI вместо того, чтобы загружать и исполнять веб-страницы на вашем компьютере, открывает их в удалённом контейнере или облачном сервере. Вредоносный скрипт или файл никогда не доходят до локального устройства и не могут инициировать загрузку трояна вида .mp4.exe или внедрить шелл-код в процессы системы. А вот решение Ankey SIEM NG отвечает за сетевой мониторинг, оно отслеживает подозрительную активность и неожиданные соединения с неизвестными серверами, о чём даёт знать оператору через алерты», — рекомендует Михаил Спицын.