Credit image: Freepix
Buat pengguna platform media sosial apa pun di era digital seperti sekarang harus lebih berhati-hati terutama terkait dengan penggunaan AI
Alat pembuat video palsu bertenaga AI digunakan untuk mendistribusikan keluarga malware pencuri informasi baru yang disebut Noodlophile, dengan kedok konten media yang dibuat.
Situs web tersebut menggunakan nama yang menarik seperti “Dream Machine” dan diiklankan di grup yang sangat dikenal di Facebook, dengan menyamar sebagai alat AI canggih yang membuat video berdasarkan file pengguna yang diunggah.
Meskipun penggunaan alat AI untuk mengirimkan malware bukanlah konsep baru dan telah diadopsi oleh penjahat dunia maya yang berpengalaman, penemuan operasi terbaru ini memperkenalkan pencuri informasi baru ke dalam campuran tersebut.
Noodlophile dijual di forum web gelap, sering kali dibundel dengan layanan “Dapatkan Cookie + Pass”, jadi ini adalah operasi malware-sebagai-layanan baru yang terkait dengan operator berbahasa Vietnam.
|
Baca juga: 3 Entitas yang Menyebabkan Serangan Siber Makin Canggih |
Tipu-tipu Video AI
Setelah korban mengunjungi situs web jahat dan mengunggah file mereka, mereka menerima arsip ZIP yang seharusnya berisi video yang dibuat oleh AI.
Sebaliknya, ZIP tersebut berisi file yang diberi nama yang menipu (Video Dream MachineAI.mp4.exe), dan folder tersembunyi dengan berbagai file yang dibutuhkan untuk tahap selanjutnya.
Jika pengguna Windows menonaktifkan ekstensi file (jangan pernah lakukan itu), sekilas, file tersebut akan tampak seperti file video MP4.
File Video Dream MachineAI.mp4.exe adalah aplikasi C++ 32-bit yang ditandatangani menggunakan sertifikat yang dibuat melalui Winauth.
Meskipun namanya menyesatkan (mengisyaratkan video .mp4), biner ini sebenarnya adalah versi CapCut yang digunakan ulang, alat penyunting video yang sah (versi 445.0). Penamaan dan sertifikat yang menipu ini membantunya menghindari kecurigaan pengguna dan beberapa solusi keamanan.
Mengklik dua kali pada MP4 palsu akan menjalankan serangkaian file yang dieksekusi yang akhirnya meluncurkan skrip batch (Document.docx/install.bat).
Skrip tersebut menggunakan alat Windows yang sah certutil.exe untuk mendekode dan mengekstrak arsip RAR yang dilindungi kata sandi dengan kode base64 yang menyamar sebagai dokumen PDF. Pada saat yang sama, skrip tersebut juga menambahkan kunci Registri baru untuk persistensi.
Selanjutnya, skrip tersebut mengeksekusi srchost.exe, yang menjalankan skrip Python yang dikaburkan (randomuser2025.txt) yang diambil dari alamat server jarak jauh yang dikodekan secara permanen, yang akhirnya mengeksekusi Noodlophile Stealer dalam memori.
Jika Avast terdeteksi pada sistem yang disusupi, PE hollowing digunakan untuk menyuntikkan muatan ke RegAsm.exe. Jika tidak, injeksi shellcode digunakan untuk eksekusi dalam memori.
|
Baca juga: Pengguna iPhone Kebal Serangan Siber |
InfoStealer Noodlophile
Noodlophile adalah malware pencuri informasi baru yang menargetkan data yang disimpan di peramban web seperti kredensial akun, kuki sesi, token, dan file dompet mata uang kripto.
Noodlophile Stealer merupakan tambahan baru bagi ekosistem malware. Sebelumnya tidak terdokumentasi dalam pelacak atau laporan malware publik, pencuri ini menggabungkan pencurian kredensial peramban, pencurian dompet, dan penerapan akses jarak jauh opsional.
Data yang dicuri dicuri melalui bot Telegram, yang berfungsi sebagai server perintah dan kontrol (C2) rahasia, yang memberikan penyerang akses waktu nyata ke informasi yang dicuri.
Dalam beberapa kasus, Noodlophile dibundel dengan XWorm, trojan akses jarak jauh, yang memberikan penyerang kemampuan pencurian data tingkat tinggi yang jauh melampaui pencurian pasif yang difasilitasi oleh pencuri info.
Cara terbaik untuk melindungi dari malware adalah dengan menghindari mengunduh dan menjalankan file dari situs web yang tidak dikenal.
Selalu verifikasi ekstensi file sebelum membuka, dan pindai semua file yang diunduh pada alat AV terkini sebelum menjalankannya.
Sumber berita:
