Cyberkriminelle nutzen jetzt gefälschte KI-Tools in sozialen Medien, um Noodlephile-Malware zu verbreiten

Cyberkriminelle nutzen gefälschte KI-Tools in sozialen Medien, um die Malware Noodlophile zu verbreiten. Laut einem Sicherheitsexperten kann diese Malware wichtige Informationen wiedent, Informationen zu Kryptowährungs-Wallets und mehr stehlen.

Die Angreifer erstellen Plattformen mit glaubwürdigen KI-Themen, die anschließend in sozialen Medien beworben werden. Diese Plattformen sehen zwar aus wie echte KI-Tools, dienen aber in Wirklichkeit nur als Tarnung, um Nutzer zum Herunterladen von Schadsoftware zu verleiten, die sich darin verbirgt.

Kriminelle KI-Plattformen werden über Facebook-Gruppen beworben 

Die am häufigsten genutzte Social-Media-Plattform ist Facebook. Gefälschte KI-Plattformen locken Millionen von Menschen an, die täglich KI-gestützte Tools nutzen, um aus Fotos Materialien wie Kunst, Musik und Videos zu erstellen. 

Gefälschte KI-Tools sind der neue nigerianische Prinz – und sie haben es auf Ihre Passwörter abgesehen

Denken Sie, Sie laden den nächsten angesagten KI-Videoeditor herunter?

Überraschung – es handelt sich um Schadsoftware im Trenchcoat.

Hacker locken Nutzer mit professionell aussehenden Facebook-Anzeigen für gefälschte Tools wie „CapCut AI“ und erzielen damit hohe Gewinne… https://t.co/jOuVc15ZiH pic.twitter.com/hteD7bNuoE

– Mario Nawfal (@MarioNawfal) 12. Mai 2025

Der Morphisec-Forscher Shmuel Uzan sagte: „Anstatt auf traditionelle Phishing- oder Cracked-Software-Seiten zurückzugreifen, bauen sie überzeugende KI-basierte Plattformen auf – die oft über legitim aussehende Facebook-Gruppen und virale Social-Media-Kampagnen beworben werden.“

Links in diesen Gruppen führen zum Profil des Entwicklers. Dessen Biografie offenbart weitere Verwicklungen in den Verkauf und die Verbreitung von Schadsoftware.

Wenn ein Nutzer auf einen Beitrag klickt, wird er zu einer Seite weitergeleitet, die wie ein kostenloses KI-Bearbeitungstool aussieht. Dort wird er aufgefordert, ein Bild oder Video hochzuladen. Anschließend soll er die Datei VideoDreamAI.zip herunterladen. Diese sieht zwar aus wie das KI-Tool, ist aber in Wirklichkeit eine schädliche ZIP-Datei. Diese erzeugt einen Python-Code, der die Nutzung des Noodlophile Stealers ermöglicht.

Auf Facebook erreichten diese Beiträge bis zu 62.000 Aufrufe pro Beitrag. Luma Dreammachine AI, Luma Dreammaching und gratistuslibros sind einige der gefundenen gefälschten Social-Media-Seiten.

Eine Untersuchung des Begriffs „Noodlophile“ auf Cyberkriminalitätsmärkten ergab zudem, dass Gruppen ihn im Rahmen von Malware-as-a-Service-Angeboten (MaaS) anbieten. Tools wie Noodlophile werden zusammen mit Zugangsdiensten beworben, die unter dem Namen „Cookie + Passwort erhalten“ laufen und auf Kontoübernahmen unddentDiebstahl von Zugangsdaten abzielen. 

Noodlophile Stealer kommuniziert über einen Telegram-Bot mit den Angreifern

In einigen Fällen wurde der Datendieb mit Fernzugriffstrojanern wie XWorm kombiniert, um noch mehr Kontrolle über den Rechner und die Daten des Wirts zu erlangen. Am Ende des Angriffs stellte sich heraus, dass der Noodlophile-Dieb über einen Telegram-Bot mit den Angreifern kommunizierte. Dieser Bot diente ihnen als geheimer Weg, gestohlene Daten an Dritte weiterzuleiten

Cyberkriminelle nutzen Telegram, das täglich über 900 Millionen Nutzer hat, gerne, um gestohlene Datenbanken,dent, Kreditkarteninformationen und andere Daten zu handeln. Auch Betrüger nutzen die Plattform, um miteinander zu kommunizieren, Hacking-Methoden auszutauschen und illegale Waren zu verkaufen.

Wie Cryptopolitan berichtete, wurde der Telegram-Gründer Pavel Durov wegen Verwicklung von Telegram in illegale Aktivitäten verhaftet. Durov betonte jedoch, sein Unternehmen würde lieber den nationalen Markt verlassen, als private Nachrichten preiszugeben.

„In seiner zwölfjährigen Geschichte hat Telegram noch nie ein einziges Byte privater Nachrichten offengelegt“, Durov . „Gemäß dem EU-Gesetz über digitale Dienste würde Telegram, wenn ein gültiger Gerichtsbeschluss vorläge, lediglich die IP-Adressen und Telefonnummern von Tatverdächtigen, nicht aber Nachrichten, offenlegen.“

Die Malware Noodlophile stammt vermutlich aus Vietnam, wie eine GitHub-Seite belegt, auf der der Nutzer als „leidenschaftlicher Malware-Entwickler aus Vietnam“ bezeichnet wird. Er reagierte zudem auf Facebook-Beiträge, die diese neue Methode bewarben. Strafverfolgungsbehörden geben an, dass Cyberkriminalität in Südostasien besonders verbreitet ist und Facebook in der Vergangenheit bereits zur Verbreitung von Schadsoftware missbraucht wurde.