Herramientas de IA falsas impulsan un nuevo ladrón de fideos a través de anuncios de Facebook

Los estafadores están utilizando herramientas de inteligencia artificial falsas y anuncios de Facebook para propagar el malware Noodlophile Stealer y dirigirse a los usuarios con un ataque de varias etapas para robar credenciales.

Los investigadores de ciberseguridad de Morphisec han identificado una nueva campaña de malware que utiliza plataformas de inteligencia artificial (IA) falsas y maliciosas para distribuir un nuevo ladrón de información denominado Noodlophile Stealer.

Esta sofisticada táctica explota la creciente popularidad de las herramientas de IA para engañar a los usuarios para que descarguen malware que puede robar credenciales del navegador y billeteras de criptomonedas, y potencialmente implementar herramientas de acceso remoto como XWorm .

El análisis de amenazas de Morphisec, compartido con Hackread.com antes de su publicación el 8 de mayo de 2025, detalla cómo los ciberdelincuentes están creando sitios web de IA falsos y convincentes, a menudo publicitados a través de grupos de Facebook con alcance global (algunas publicaciones superan las 62.000 visitas en una sola publicación).

Estas plataformas atraen a los usuarios con promesas de generación gratuita de videos e imágenes con IA, incitándolos a subir sus propias imágenes. En lugar del contenido procesado por IA esperado, las víctimas descargan, sin saberlo, un archivo ZIP malicioso que contiene el ladrón de Noodlophile.

Esta campaña se destaca por su explotación de la IA como un señuelo de ingeniería social, dirigida a una audiencia potencialmente más confiada de creadores y pequeñas empresas que exploran la IA, principalmente dentro de las comunidades de Facebook.

Un informe de Morphisec señala que Noodlophile Stealer es un malware recientemente documentado que combina el robo de credenciales, la exfiltración de billeteras y la implementación opcional de acceso remoto. Cabe destacar que exfiltra información robada a través de un bot de Telegram.

Las investigaciones de inteligencia de fuentes abiertas (OSINT) llevaron a Morphisec a identificar al desarrollador de Noodlophile, probablemente de origen vietnamita, quien fue observado promocionando este método en publicaciones de Facebook y plataformas de ciberdelincuencia en línea. El perfil del desarrollador también revela una mayor participación en la venta y distribución de malware, con enlaces encontrados en grupos de Facebook que conducen directamente a su perfil.

La cadena de ataque implica un proceso de infección de varias etapas diseñado para ser sigiloso y persistente. Los usuarios que interactúan con el sitio web falso de IA descargan un archivo ZIP ( VideoDreamAI.zip ) que contiene un ejecutable engañoso ( Video Dream MachineAI.mp4.exe ), que es una versión 445.0 reutilizada de la herramienta legítima de edición de vídeo CapCut, e incluso está firmado con un certificado creado mediante Winauth.

Luego, este ejecutable deja caer más componentes maliciosos desde una carpeta oculta llamada 5.0.0.1886, entre los que se incluyen CapCut.exe (un contenedor para malware .NET integrado), AICore.dll (un asistente de ejecución de comandos) y archivos disfrazados como Document.docx (un script por lotes) y Document.pdf (un archivo protegido con contraseña).

El script install.bat, lanzado por CapCutLoader (dentro de CapCut.exe, que primero verifica la conectividad a Internet haciendo ping a google.com hasta 10 veces), decodifica el archivo (contraseña: TONGDUCKIEMDEVELOPER2025 ), establece persistencia y descarga y ejecuta una carga útil de Python ( srchost.exe ) que contiene el Noodlophile Stealer y el cargador XWorm.

Estas cargas útiles finales operan en la memoria para evadir la detección, y el cargador XWorm emplea técnicas como inyección de shellcode y vaciado de PE (especialmente dirigido RegAsm.exe si Avast está presente).

El ladrón de Noodlophile y su uso de plataformas de IA falsas son una amenaza más a la ciberseguridad contra usuarios desprevenidos. Por lo tanto, es fundamental mantener la cautela en todo momento, evitar descargar herramientas directamente desde redes sociales o plataformas de terceros y usar siempre sitios web oficiales para descargar archivos.

Incluso después de descargar un archivo de una fuente verificada, no ejecute/instale el programa en su dispositivo antes de escanearlo en sitios web como VirusTotal o ANY.RUN.