Malware Noodlophile Usa IA Falsa no Facebook: Proteja-se Agora

Atores maliciosos estão explorando o crescente interesse em Inteligência Artificial (IA) para disseminar o Malware Noodlophile, um sofisticado ladrão de informações. Esta nova ameaça utiliza falsas ferramentas de IA, promovidas agressivamente em plataformas como o Facebook, para enganar usuários e comprometer seus dados. Uma única postagem fraudulenta chegou a atrair mais de 62.000 visualizações, conforme relatório recente da empresa de cibersegurança Morphisec, indicando o vasto alcance da campanha que visa principalmente usuários buscando editores de vídeo e imagem baseados em IA.

Mecanismo de Ataque: Como o Noodlophile Engana Usuários

A estratégia dos cibercriminosos envolve a criação de plataformas e páginas de mídia social com aparência legítima, focadas em IA. “Em vez de depender de phishing tradicional ou sites de software crackeado, eles constroem plataformas convincentes com tema de IA – frequentemente anunciadas através de grupos de Facebook com aparência legítima e campanhas virais em mídias sociais,” afirmou Shmuel Uzan, pesquisador da Morphisec. Páginas falsas como “Luma Dreammachine Al”, “Luma Dreammachine” e “gratistuslibros” são exemplos identificados.

Usuários atraídos por anúncios de serviços de criação de conteúdo por IA (vídeos, logos, imagens) são direcionados a sites fraudulentos. Um desses sites se passa pelo popular editor de vídeo CapCut AI, prometendo “um editor de vídeo tudo-em-um com novos recursos de IA”. Ao tentar usar o serviço e fazer upload de prompts, as vítimas são instadas a baixar o suposto conteúdo gerado por IA, que na verdade é um arquivo ZIP malicioso, como o “VideoDreamAI.zip”.

Detalhes da Infecção: Do Download à Execução do Stealer

Dentro do arquivo ZIP, encontra-se um executável disfarçado, como “Video Dream MachineAI.mp4.exe”. Ao ser executado, ele inicia a cadeia de infecção lançando um binário legítimo associado ao editor de vídeo da ByteDance (“CapCut.exe”). Este executável, baseado em C++, é então usado para rodar um carregador .NET chamado CapCutLoader. Este carregador, por sua vez, baixa e executa uma carga útil Python (“srchost.exe”) de um servidor remoto.

O payload Python é o responsável final pela implantação do Noodlophile Stealer. Este malware possui capacidades robustas para coletar credenciais de navegadores, informações de carteiras de criptomoedas e outros dados sensíveis. Em algumas instâncias, o Noodlophile foi observado sendo distribuído junto com um Trojan de Acesso Remoto (RAT) como o XWorm, garantindo aos atacantes acesso persistente aos sistemas infectados.

Origem e Contexto da Ameaça Noodlophile

As investigações sugerem que o desenvolvedor do Noodlophile é de origem vietnamita. Um perfil no GitHub, criado em 16 de março de 2025, sob o nome “luci205” (https://github.com/luci205), autodenomina-se um “desenvolvedor de malware apaixonado do Vietnã”. O Vietnã tem sido associado a um ecossistema de cibercrime ativo, com histórico de distribuição de diversos malwares do tipo “stealer” que visam usuários do Facebook.

O uso de tecnologias de IA como isca não é uma tática nova. Em 2023, a Meta reportou ter removido mais de 1.000 URLs maliciosas de seus serviços que utilizavam o ChatGPT da OpenAI para propagar cerca de 10 famílias de malware desde março daquele ano. Este cenário é complementado pela recente descoberta do PupkinStealer pela CYFIRMA, outro malware .NET focado em roubo de dados, que exfiltra informações para um bot do Telegram controlado pelo atacante. “PupkinStealer exemplifica uma forma simples, porém eficaz, de malware de roubo de dados”, destacou a CYFIRMA.

“Em vez de depender de phishing tradicional ou sites de software crackeado, eles constroem plataformas convincentes com tema de IA – frequentemente anunciadas através de grupos de Facebook com aparência legítima e campanhas virais em mídias sociais.”

Shmuel Uzan, Pesquisador da Morphisec

Implicações e Recomendações de Segurança

A proliferação de malwares como o Noodlophile, que se aproveitam da popularidade da IA, representa um risco significativo para usuários individuais e corporativos. As consequências de uma infecção podem incluir perdas financeiras, roubo de identidade e comprometimento de informações confidenciais. É crucial que os usuários adotem uma postura cética em relação a ofertas de software milagroso, especialmente aquelas promovidas agressivamente em mídias sociais.

• Verifique a fonte: Desconfie de softwares promovidos exclusivamente via redes sociais ou links desconhecidos. Busque sempre o site oficial do desenvolvedor.
• Cuidado com downloads: Evite baixar arquivos de fontes não confiáveis. Analise a extensão do arquivo; um vídeo não deveria ter a extensão “.exe”.
• Use software de segurança: Mantenha um antivírus/anti-malware atualizado e ativo em seu sistema.
• Mantenha sistemas atualizados: Aplique patches de segurança para sistema operacional e aplicativos assim que disponíveis.
• Educação e conscientização: Esteja ciente das táticas de engenharia social usadas por cibercriminosos.

Pontos-chave sobre o Malware Noodlophile:

1. Vetor de Ataque: Falsas ferramentas de IA promovidas no Facebook.
2. Malware Principal: Noodlophile Stealer, focado em roubo de credenciais e dados de carteiras de cripto.
3. Técnica de Infecção: Download de ZIP malicioso, seguido por execução de binários e payload Python.
4. Possível Origem: Desenvolvedor baseado no Vietnã.
5. Risco Adicional: Pode ser distribuído com RATs como o XWorm.

FAQ Estratégico: Malware Noodlophile e IA Falsa

Considerações finais

A campanha do Malware Noodlophile destaca a contínua adaptação dos cibercriminosos às novas tendências tecnológicas, utilizando o fascínio pela Inteligência Artificial como uma potente isca. A vigilância constante, o ceticismo saudável em relação a ofertas online e a adesão às boas práticas de segurança digital são essenciais para mitigar os riscos associados a estas ameaças emergentes. Manter-se informado sobre táticas como as empregadas pelo Noodlophile é o primeiro passo para uma navegação mais segura.