Noodlophile Stealer
Cyberkriminelle nutzen die wachsende Nachfrage nach KI-gestützten Tools, indem sie überzeugende Fake-Plattformen erstellen, um Nutzer zum Download der gefährlichen, informationsstehlenden Malware Noodlophile zu verleiten. Im Gegensatz zu herkömmlichen Phishing-Betrügereien oder Websites zum Vertrieb gecrackter Software erstellen diese Akteure legitim wirkende KI-Websites und bewerben diese über virale Social-Media-Kampagnen und Facebook-Gruppen.
Inhaltsverzeichnis
Social Engineering über soziale Medien
Diese Fake-Kampagnen werden geschickt auf sozialen Plattformen verbreitet, wobei einige Beiträge jeweils über 62.000 Aufrufe erzielen. Die Seiten geben sich als echte KI-basierte Content-Erstellungsdienste aus und richten sich an Nutzer, die Tools zur Video- und Bildbearbeitung suchen. Zu den bekanntesten Fake-Profilen gehören „Luma Dreammachine Al“, „Luma Dreammachine“ und „gratistuslibros“.
Zu schön, um wahr zu sein: Die KI-Falle
Sobald Nutzer die Beiträge lesen, werden sie aufgefordert, vermeintlich KI-gestützte Dienste zum Erstellen von Videos, Bildern, Logos oder Websites herunterzuladen. Eine betrügerische Website imitiert sogar CapCut AI und behauptet, einen All-in-One-Videoeditor mit erweiterten KI-Funktionen anzubieten.
Die Infektionskette beginnt
Nach dem Hochladen der Medienaufforderungen werden Benutzer aufgefordert, die KI-generierte Ausgabe herunterzuladen. Anstatt jedoch Inhalte zu erhalten, laden sie unwissentlich ein schädliches ZIP-Archiv mit dem Titel VideoDreamAI.zip herunter. Darin befindet sich eine getarnte ausführbare Datei: Video Dream MachineAI.mp4.exe. Das Ausführen dieser Datei löst eine Kettenreaktion aus, die mit dem Start von ByteDances legitimer CapCut.exe beginnt.
Diese legitime Binärdatei dient als Nebelwand zum Laden einer .NET-basierten Komponente namens CapCutLoader, die dann eine Python-basierte Nutzlast (srchost.exe) von einem Remote-Server abruft und ausführt.
Die Nutzlast: Nudelliebhaber und mehr
Die finale Nutzlast ist der Noodlophile Stealer, eine Schadsoftware, die Browser-Anmeldeinformationen, Kryptowährungs-Wallet-Daten und andere sensible Informationen abgreifen kann. In einigen Varianten wird der Stealer zusammen mit einem Remote Access Trojaner (RAT) wie XWorm eingesetzt, wodurch die dauerhafte Kontrolle über das Gerät des Opfers ermöglicht wird.
Malware-Autor mit öffentlichem Gesicht
Die Entwicklung von Noodlophile geht auf eine Person zurück, die vermutlich in Vietnam lebt. Dieser Entwickler, der sich auf GitHub als „leidenschaftlicher Malware-Entwickler aus Vietnam“ bezeichnet, erstellte sein Profil am 16. März 2025. Vietnam hat sich zu einem Hotspot für Cyberkriminalität entwickelt, insbesondere im Zusammenhang mit Stealer-Malware, die auf Plattformen wie Facebook abzielt.
KI als neuer Malware-Köder
Die Faszination der Öffentlichkeit für künstliche Intelligenz auszunutzen, ist nichts Neues. Im Jahr 2023 meldete Meta die Entfernung von über 1.000 bösartigen URLs, die sich als ChatGPT von OpenAI ausgeben sollten. Diese Links wurden seit März 2023 zur Verbreitung von mindestens zehn verschiedenen Malware-Familien verwendet. Dies zeigt, dass KI-basierte Betrugsmaschen weiterhin ein mächtiges Werkzeug im Arsenal von Cyberkriminellen sind.
