假冒的人工智能视频生成工具正被用来传播一种新的窃取信息的恶意软件,名为“Noodlophile”,它以生成的媒体内容为幌子。
这些网站使用“Dream Machine”等名字,并在Facebook上的高知名度群组中做广告,冒充先进的人工智能工具,根据上传的用户文件生成视频。
尽管使用人工智能工具来传播恶意软件并不是一个新概念,而且已经被经验丰富的网络犯罪分子所采用,但Morphisec最新活动的发现为这一组合引入了一个新的信息杀手。
根据Morphisec的说法,“Noodlophile”是在暗网论坛上出售的,通常与“Get Cookie + Pass”服务捆绑在一起,所以这是一种新的恶意软件即服务,与讲越南语的运营商有关。
Facebook广告将用户带到恶意网站
多级感染链
一旦受害者访问恶意网站并上传他们的文件,他们就会收到一个ZIP档案,其中应该包含人工智能生成的视频。
相反,ZIP包含一个看似可执行文件(Video Dream machinai .mp4.exe),以及一个隐藏文件夹,其中包含后续阶段所需的各种文件。如果Windows用户禁用了文件扩展名(永远不要这样做),那么一眼望去,它看起来就像一个MP4视频文件。
“Video Dream MachineAI.mp4.exe文件是一个32位的c++应用程序,使用通过Winauth创建的证书进行签名,”Morphisec解释说。
尽管它的名字具有误导性(暗示是一个mp4视频),但这个二进制文件实际上是CapCut的改版版本,CapCut是一个合法的视频编辑工具(版本445.0)。这种欺骗性的命名和证书帮助它逃避用户的怀疑和一些安全解决方案。
DreamMachine网站放弃了有效载荷
双击假MP4将执行一系列可执行文件,最终启动批处理脚本(Document.docx/install.bat)。
该脚本使用合法的Windows工具“certutil.exe”解码并提取base64编码的密码保护的RAR存档,冒充PDF文档。同时,它还为持久化添加了一个新的Registry键。
接下来,脚本执行‘srchost.exe ’,它运行一个从硬编码的远程服务器地址获取的混淆的Python脚本(randomuser2025.txt),最终在内存中执行noodle lophile Stealer。
如果在受感染的系统上检测到Avast,则使用PE掏空将有效载荷注入RegAsm.exe。否则,将使用shellcode注入在内存中执行。
完整的执行链
noodle lophile是一种新的信息窃取恶意软件,其目标是存储在web浏览器上的数据,如帐户凭据、会话cookie、令牌和加密货币钱包文件。
Noodlophile代表了恶意软件生态系统的新成员。以前在公共恶意软件跟踪或报告中没有记录,这种窃取程序结合了浏览器凭证盗窃、钱包泄露和可选的远程访问部署。
被窃取的数据是通过电报机器人泄露的,它作为一个秘密的命令和控制(C2)服务器,让攻击者实时访问被盗的信息。
在某些情况下,Noodlophile与XWorm(一种远程访问木马)捆绑在一起,使攻击者能够提升数据窃取能力,远远超出了信息窃取器所提供的被动窃取能力。
防止恶意软件的最好方法是避免从未知网站下载和执行文件。在打开前一定要验证文件扩展名,并在执行前用最新的防病毒工具扫描所有下载的文件。
Here’s a look at the most interesting products from the past week, featuring releases from Hunted Labs, McAfee, Obsidian Security, PentestPad, Resecurity, and SecuX. Resecurity One simplifies cybersecurity operations Resecurity One provides real-time cyber threat intelligence from multiple sources, enabling organizations to proactively identify and respond to cyber threats. With comprehensive threat intelligence feeds and advanced analytics, organizations can detect and thwart cyber attacks before they cause harm. SecuX releases Bitcoin self-managed solution for SMBs … More →
The post New infosec products of the week: May 16, 2025 appeared first on Help Net Security.
近期,法国奢侈时尚品牌迪奥之家(House of Dior)遭遇网络安全事件,该事件导致客户信息外泄。据了解,这一事件主要影响了迪奥时装和配饰的客户。目前,网络安全专家正在调查这起事件,以尽快确定其范围。
迪奥表示,这次事件并没有暴露账户密码或支付卡信息,因为这些信息存储在另一个数据库中,没有受到影响。
韩国和中国确认受到影响
虽然迪奥没有具体说明受影响的客户数量和地区,但有一份通知证实其韩国网站受到了影响。还有一些报道称,中国客户收到了该时尚品牌的数据泄露通知。
根据网上分享的通知截图,该事件于5月7日被发现,涉及未经授权的人员访问,并暴露了以下信息:
·全名
·性别
·电话号码
·电子邮件地址
·邮寄地址
·购买历史
发给中国客户的通知
张贴在迪奥韩国店的通知还表明泄露日期为2025年5月7日。迪奥作为国际奢饰品品牌,毫无疑问这是一起具有国际影响的常见网络安全事件。但在这种情况下,只有联系信息、购买数据和客户与品牌共享的偏好被标记为潜在暴露信息。
公告发布在迪奥韩国网站上
与此同时,韩国媒体报道称,迪奥因未能将数据泄露一事通知韩国所有相关部门而面临法律审查。
目前,迪奥建议客户对要求提供个人信息的网络钓鱼保持警惕,并立即与他们联系,及时报告假冒品牌的情况。截止到现在,有关客户数量和受影响国家的详细信息尚未公开披露。