Các nhóm tội phạm mạng mới đây đã bị phát hiện lợi dụng các công cụ AI giả mạo để phát tán một loại mã độc đánh cắp thông tin có tên gọi "Noodlophile". Thay vì sử dụng các phương thức lừa đảo truyền thống hoặc các trang phần mềm bẻ khóa, các đối tượng này đã xây dựng những nền tảng mang chủ đề AI trông rất thuyết phục, thường được quảng bá qua các nhóm Facebook giả mạo có giao diện chính thống và các chiến dịch lan truyền trên mạng xã hội.X
Xuất hiện mã độc mới giả mạo các công cụ AI nhằm đánh cắp thông tin - Ảnh: Internet
Theo báo cáo của nhà nghiên cứu Shmuel Uzan từ Morphisec được công bố vào tuần trước, các bài đăng trên những trang mạng xã hội này đã thu hút hơn 62.000 lượt xem chỉ với một bài đăng, cho thấy nhóm tội phạm mạng này đang nhắm đến đối tượng người dùng đang tìm kiếm các công cụ AI giúp chỉnh sửa video và hình ảnh. Một số trang Facebook giả mạo được xác định bao gồm "Luma Dreammachine Al", "Luma Dreammachine", và "gratistuslibros".
Nhiều fanpage trên Facebook giả mạo các công cụ chỉnh sửa video bằng AI, đưa ra các đường link độc hại để người dùng tải về - Ảnh chụp màn hình
Những người dùng truy cập vào các bài đăng này sẽ được hướng dẫn bấm vào các liên kết quảng cáo dịch vụ tạo nội dung bằng AI, bao gồm video, logo, hình ảnh và thậm chí là website. Một trong những trang web giả mạo đã được phát hiện mang tên CapCut AI, quảng cáo là một "trình chỉnh sửa video tất cả trong một với các tính năng AI mới", giả mạo ứng dụng CapCut nổi tiếng.
Khi người dùng không nghi ngờ và tải lên các hình ảnh hoặc video theo yêu cầu của trang, họ sẽ được yêu cầu tải xuống nội dung "đã được tạo bởi AI". Tuy nhiên, thay vì nhận được nội dung mong đợi, người dùng lại tải về một tệp ZIP độc hại có tên "VideoDreamAI.zip".
Cách thức hoạt động của phần mềm mã độc giả mạo CapCut AI - Ảnh: Morphisec
Bên trong tập tin này là một tệp giả dạng video mang tên "Video Dream MachineAI.mp4.exe". Khi người dùng khởi chạy tệp này, chuỗi lây nhiễm sẽ bắt đầu bằng cách kích hoạt một tệp tin hợp pháp liên quan đến trình chỉnh sửa video của ByteDance mang tên "CapCut.exe". Đây là một tệp thực thi viết bằng C++ dùng để chạy một bộ nạp mã độc .NET mang tên "CapCutLoader". Tiếp theo, "CapCutLoader" sẽ tải xuống một tập tin Python độc hại có tên "srchost.exe" từ máy chủ điều khiển từ xa.
Mã độc Python này sẽ mở đường cho việc cài đặt Noodlophile Stealer, một loại phần mềm độc hại với khả năng thu thập thông tin đăng nhập trình duyệt, dữ liệu ví tiền điện tử và nhiều thông tin nhạy cảm khác. Trong một số trường hợp, "Noodlophile" còn đi kèm với một trojan truy cập từ xa (RAT) như XWorm, cho phép hacker kiểm soát máy tính của nạn nhân từ xa.
Morphisec cho biết nhà phát triển của "Noodlophile" có khả năng xuất thân từ khu vực Đông Nam Á, là một điểm nóng của các hoạt động tội phạm mạng, với lịch sử phát tán nhiều loại mã độc nhắm vào người dùng Facebook.
Morphisec cáo buộc nhà phát triển của mã độc Noodlophile là người Việt Nam
Việc lợi dụng sự quan tâm của công chúng đối với công nghệ AI để phát tán phần mềm độc hại không phải là điều mới mẻ. Năm 2023, Meta (công ty mẹ của Facebook) đã phải gỡ bỏ hơn 1.000 đường dẫn độc hại trên nền tảng của mình, sau khi phát hiện chúng sử dụng ChatGPT của OpenAI làm mồi nhử để phát tán khoảng 10 loại mã độc khác nhau kể từ tháng 3/2023.
Thông tin này được đưa ra cùng lúc với báo cáo của CYFIRMA về một loại mã độc mới dựa trên nền tảng .NET có tên "PupkinStealer". Mã độc này có khả năng đánh cắp một loạt dữ liệu từ các hệ thống Windows bị xâm nhập và gửi về cho kẻ tấn công thông qua bot Telegram.
CYFIRMA cho biết: "Không có cơ chế phòng vệ phân tích hay khả năng duy trì lâu dài, PupkinStealer phụ thuộc vào cách thức thực thi đơn giản và hành vi âm thầm để tránh bị phát hiện trong suốt quá trình hoạt động của nó." Hãng bảo mật này nhận định PupkinStealer là một ví dụ điển hình cho loại mã độc đánh cắp dữ liệu đơn giản nhưng hiệu quả, khai thác những hành vi hệ thống phổ biến để lấy cắp thông tin nhạy cảm.
Với việc lợi dụng sự bùng nổ của công nghệ AI, các nhóm tội phạm mạng đang tạo ra những mối đe dọa ngày càng tinh vi hơn. Người dùng cần cảnh giác khi truy cập vào các liên kết hoặc tải xuống phần mềm từ các nguồn không đáng tin cậy, đặc biệt là những công cụ AI được quảng cáo miễn phí hoặc có tính năng vượt trội bất thường. Việc cập nhật phần mềm bảo mật và kiểm tra kỹ nguồn gốc của ứng dụng trước khi cài đặt sẽ giúp người dùng giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch phát tán mã độc như "Noodlophile" hay "PupkinStealer".
Tham khảo: Morphisec, The Hacker News
* Mời quý độc giả theo dõi các chương trình đã phát sóng của Đài Truyền hình Việt Nam trên TV Online và VTVGo!