Cibercriminosos estão explorando o interesse por ferramentas de inteligência artificial (IA) para disseminar o malware Noodlophile, um ladrão de informações. A campanha usa páginas falsas em redes sociais, especialmente no Facebook, para atrair vítimas com promessas de editores de vídeo e imagem baseados em IA. Segundo a Morphisec, grupos como “Luma Dreammachine AI” e “gratistuslibros” publicam anúncios atraentes que já alcançaram mais de 62 mil visualizações em um único post.
As vítimas são redirecionadas para sites falsos que se passam por plataformas legítimas, como o suposto “CapCut AI”, prometendo recursos avançados de edição de vídeo com IA. Ao tentar acessar o conteúdo, os usuários acabam baixando um arquivo ZIP malicioso (“VideoDreamAI.zip”). Dentro dele, há um executável disfarçado (“Video Dream MachineAI.mp4.exe”), que inicia a infecção carregando primeiro um binário legítimo do CapCut, seguido de um loader em .NET e, por fim, um arquivo em Python (“srchost.exe”) responsável por instalar o Noodlophile Stealer.
O malware rouba credenciais de navegadores, carteiras de criptomoedas e outros dados sensíveis. Em alguns casos, vem acompanhado de trojans de acesso remoto como o XWorm, permitindo controle contínuo da máquina infectada. O criador do Noodlophile, possivelmente vietnamita, se descreve no GitHub como um “desenvolvedor apaixonado por malware”. O Vietnã já é conhecido por abrigar ecossistemas ativos de crimes cibernéticos, especialmente voltados contra usuários do Facebook. A ameaça surge enquanto outra praga, a PupkinStealer, é analisada pela CYFIRMA. Desenvolvida em .NET, ela rouba dados e os envia via bot do Telegram, apostando em execução simples para passar despercebida.
