虚假 AI 视频生成器暗藏新型 Noodlophile 窃密木马​

网络安全研究人员发现，新型信息窃取软件“Noodlophile窃密者”正通过伪造的AI视频生成工具传播。攻击者在Facebook高流量群组投放名为“造梦机器”（Dream Machine）的广告，宣称可通过上传文件生成AI视频，实则诱导用户下载恶意压缩包。

感染链分析显示，受害者下载的ZIP文件内藏名为“Video Dream MachineAI.mp4.exe”的可执行程序（实为CapCut视频编辑软件v445.0版本的重打包程序），利用Winauth工具伪造数字签名。当用户双击该文件时，系统会执行多阶段攻击流程：

1. 启动批处理脚本：通过install.bat调用Windows系统工具certutil.exe，解码Base64加密的带密码RAR压缩包（伪装为PDF文档）
2. 建立持久化：在注册表添加自启动项
3. 载荷注入：根据目标环境选择注入方式——若检测到Avast杀毒软件，则通过PE空心化技术将恶意代码注入RegAsm.exe进程；否则直接使用Shellcode内存加载
4. 窃密执行：运行从硬编码服务器获取的混淆Python脚本，最终在内存中激活Noodlophile窃密者

该恶意软件具备三重数据窃取能力：

1. 浏览器凭证：盗取Chrome、Edge等浏览器的账号密码、会话Cookie及身份令牌
2. 数字资产：扫描加密货币钱包文件（如metamask.txt、ledger.txt等）与私钥
3. 远程控制：部分样本捆绑XWorm远控木马，实现主动渗透

窃取数据通过Telegram机器人实时回传至攻击者，形成隐蔽的C2通道。安全公司Morphisec指出，此恶意软件即服务（MaaS）由越南语系犯罪团伙运营，暗网论坛提供“Cookie+密码提取”订阅服务。防御建议包括：禁用Windows文件扩展名隐藏功能，下载文件前验证数字签名，并使用更新至最新病毒库的安全软件扫描。

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；