ผู้ไม่หวังดีถูกพบว่ากำลังใช้เครื่องมือ Artificial Intelligence (AI) ปลอมเป็นเหยื่อล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์สำหรับขโมยข้อมูล ที่มีชื่อว่า Noodlophile
Shmuel Uzan นักวิจัยจาก Morphisec ระบุว่า "แทนที่จะใช้วิธีการฟิชชิ่งแบบดั้งเดิม หรือใช้เว็บไซต์ซอฟต์แวร์แบบ cracked แต่พวกเขากลับสร้างแพลตฟอร์ม AI-themed ที่ดูน่าเชื่อถือ โดยมักจะโฆษณาผ่านกลุ่ม Facebook ที่ดูเหมือนถูกต้องตามกฎหมาย และใช้แคมเปญโซเชียลมีเดียที่กำลังเป็นกระแส"
พบว่าโพสต์ที่แชร์บนเพจเหล่านี้บางโพสต์มียอดผู้เข้าชมมากกว่า 62,000 ครั้งในโพสต์เดียว เป็นสัญญาณที่แสดงให้เห็นว่าผู้ใช้ที่กำลังมองหาเครื่องมือ AI สำหรับการแก้ไขวิดีโอ และรูปภาพกำลังตกเป็นเป้าหมายของแคมเปญนี้ โดยเพจโซเชียลมีเดียปลอมที่ถูกระบุว่ามีส่วนเกี่ยวข้อง ได้แก่ Luma Dreammachine AI, Luma Dreammachine และ gratistuslibros
ผู้ใช้ที่คลิกเข้าไปในโพสต์บนโซเชียลมีเดียเหล่านี้จะถูกกระตุ้นให้กดลิงก์ที่เป็นโฆษณาบริการสร้างคอนเทนต์ด้วย AI รวมถึงการสร้างวิดีโอ, โลโก้, รูปภาพ และแม้กระทั่งเว็บไซต์ โดยหนึ่งในเว็บไซต์ปลอมเหล่านี้ ได้ปลอมตัวเป็นเว็บไซต์ของ CapCut AI ที่นำเสนอผู้ใช้ว่าเป็น “โปรแกรมตัดต่อวิดีโอแบบครบวงจรที่มีฟีเจอร์ AI ใหม่”
เมื่อผู้ใช้ที่ไม่สงสัยอะไรจะทำการอัปโหลดภาพ หรือวิดีโอบนเว็บไซต์เหล่านี้ พวกเขาจะถูกขอให้ดาวน์โหลดเนื้อหาที่อ้างว่าเป็นผลงานจาก AI แต่แทนที่จะได้ไฟล์จริง พวกเขากลับได้รับไฟล์ ZIP ที่เป็นอันตรายที่ชื่อว่า "VideoDreamAI.zip"
ภายในไฟล์ ZIP นั้นมีไฟล์หลอกลวงที่ชื่อ "Video Dream MachineAI.mp4.exe" ซึ่งเป็นจุดเริ่มต้นของการแพร่กระจายมัลแวร์ เมื่อมีการเปิดโปรแกรมแอปตัดต่อวิดีโอ CapCut ของ ByteDance ("CapCut.exe") ตัวโปรแกรมที่เขียนด้วยภาษา C++ นี้ จะถูกใช้ในรัน .NET-based loader ที่ชื่อ CapCutLoader และท้ายที่สุดก็จะดาวน์โหลด payload ที่เขียนด้วย Python ชื่อว่า "srchost.exe" จากเซิร์ฟเวอร์ภายนอกเข้ามาทำงานบนเครื่องของผู้ใช้
ไฟล์ไบนารี Python นี้ เป็นตัวเปิดทางให้มัลแวร์ Noodlophile Stealer ถูกติดตั้งลงบนเครื่องของผู้ใช้ โดยมัลแวร์ดังกล่าวมีความสามารถในการขโมยข้อมูล เช่น รหัสผ่านจากเบราว์เซอร์, ข้อมูล Cryptocurrency wallet และข้อมูลที่สำคัญอื่น ๆ และในบางกรณี พบว่ามีการรวมมัลแวร์ขโมยข้อมูลตัวนี้เข้ากับ Remote Access Trojan อย่างเช่น XWorm เพื่อให้สามารถเข้าถึงเครื่องที่ติดมัลแวร์ได้อย่างต่อเนื่อง
ผู้พัฒนา Noodlophile ถูกประเมินว่ามีต้นกำเนิดมาจากประเทศเวียดนาม โดยในโปรไฟล์ GitHub ของเขาอ้างว่าเป็น “นักพัฒนามัลแวร์ผู้มีใจรักจากเวียดนาม” ซึ่งบัญชีนี้ถูกสร้างขึ้นเมื่อวันที่ 16 มีนาคม 2025 ทั้งนี้ควรสังเกตว่าภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเฉพาะเวียดนาม เป็นศูนย์กลางของปฏิบัติการอาชญากรรมทางไซเบอร์ที่เฟื่องฟู และมีประวัติในการเผยแพร่มัลแวร์ประเภทขโมยข้อมูล โดยมุ่งเป้าไปที่ผู้ใช้ Facebook เป็นหลัก
การที่ผู้ไม่หวังดีใช้ความสนใจของประชาชนจากเทคโนโลยี AI มาเป็นเครื่องมือในการล่อลวงซึ่งไม่ใช่เรื่องใหม่ เมื่อย้อนกลับไปในปี 2023 บริษัท Meta เปิดเผยว่า ได้ลบลิงก์ที่เป็นอันตรายมากกว่า 1,000 รายการ ออกจากแพลตฟอร์มของตน ซึ่งลิงก์เหล่านั้นใช้ชื่อ ChatGPT ของ OpenAI เป็นเหยื่อล่อในการแพร่กระจายมัลแวร์มากถึง 10 ตระกูล นับตั้งแต่เดือนมีนาคม 2023 เป็นต้นมา
การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่บริษัท CYFIRMA ได้เปิดเผยรายละเอียดเกี่ยวกับมัลแวร์ขโมยข้อมูลตระกูลใหม่ ซึ่งพัฒนาด้วย .NET โดยใช้ชื่อรหัสว่า PupkinStealer ซึ่งสามารถขโมยข้อมูลได้หลากหลายประเภทจากระบบ Windows ที่ถูกโจมตี และส่งข้อมูลเหล่านั้นไปยัง Telegram bot ที่ควบคุมโดยผู้โจมตี
บริษัทด้านความปลอดภัยทางไซเบอร์ ระบุว่า “PupkinStealer ไม่มีการป้องกันการวิเคราะห์ (anti-analysis) หรือกลไกการแฝงตัวถาวรในระบบ (persistence mechanism) ใด ๆ แต่จะอาศัยการทำงานที่เรียบง่าย และมีพฤติกรรมที่ไม่เป็นจุดสังเกต เพื่อหลีกเลี่ยงการถูกตรวจจับในระหว่างการทำงาน และ PupkinStealer เป็นตัวอย่างของมัลแวร์ขโมยข้อมูลที่เรียบง่ายแต่มีประสิทธิภาพ โดยอาศัยพฤติกรรมทั่วไปของระบบ และแพลตฟอร์มที่ใช้กันอย่างแพร่หลายในการลักลอบส่งข้อมูลที่สำคัญออกไป”
ที่มา : thehackernews
You must be logged in to post a comment.