Des cybercriminels utilisent de faux outils d'IA sur les réseaux sociaux pour diffuser le logiciel malveillant Noodlophile. Selon un expert en sécurité, ce logiciel peut dérober des informations sensibles telles que lesdentde navigation, les données des portefeuilles de cryptomonnaies, etc.
Les attaquants créent des plateformes aux thèmes d'IA crédibles qu'ils promeuvent ensuite sur les réseaux sociaux. Ces plateformes peuvent ressembler à de véritables outils d'IA, mais il s'agit en réalité de façades destinées à inciter les utilisateurs à télécharger des logiciels malveillants dissimulés à l'intérieur.
Les plateformes utilisant l'IA à des fins criminelles sont promues via des groupes Facebook
La principale plateforme de médias sociaux utilisée est Facebook. De fausses plateformes d'IA attirent des millions de personnes qui utilisent quotidiennement des outils d'IA pour créer des contenus tels que des œuvres d'art, de la musique et des vidéos à partir de photos.
LES FAUX OUTILS D'IA SONT LE NOUVEAU PRINCE NIGÉRIAN — ET ILS VEULENT VOS MOTS DE PASSE
Vous pensez télécharger le prochain logiciel de montage vidéo IA à succès ?
Surprise ! C'est un logiciel malveillant déguisé en imperméable.
Des pirates informatiques attirent les internautes avec des publicités Facebook attrayantes pour de faux outils comme « CapCut AI », et accumulent des millions de dollars… https://t.co/jOuVc15ZiH pic.twitter.com/hteD7bNuoE
– Mario Nawfal (@MarioNawfal) 12 mai 2025
Shmuel Uzan, chercheur chez Morphisec, a déclaré : « Au lieu de s'appuyer sur des sites d'hameçonnage traditionnels ou de logiciels piratés, ils créent des plateformes convaincantes sur le thème de l'IA, souvent promues via des groupes Facebook d'apparence légitime et des campagnes virales sur les réseaux sociaux. »
Les liens présents dans ces groupes mènent au profil du développeur. Sa biographie révèle son implication dans la vente et la distribution de logiciels malveillants.
Lorsqu'un utilisateur clique sur une publication, il est redirigé vers une page qui ressemble à un outil de montage vidéo gratuit par IA, où il est invité à télécharger une photo ou une vidéo. Ensuite, il est invité à télécharger VideoDreamAI.zip, un fichier qui ressemble à l'outil d'IA mais qui est en réalité un fichier ZIP malveillant. Ce dernier exécute un code Python permettant d'utiliser le logiciel malveillant Noodlophile Stealer.
Partagées sur Facebook, ces publications ont généré jusqu'à 62 000 vues pour une seule. Parmi les fausses pages de réseaux sociaux recensées figurent Luma Dreammachine AI, Luma Dreammaching et gratistuslibros.
Par ailleurs, une enquête sur le terme « Noodlophile » sur les plateformes de cybercriminalité a révélé que des groupes le proposaient dans le cadre de systèmes de logiciels malveillants en tant que service (MaaS). Des outils comme Noodlophile sont présentés avec des services d'accès intitulés « Obtenir le cookie et le mot de passe », conçus pour la prise de contrôle de comptes et le vol d'dent.
Le voleur de nouilles communique avec les attaquants via un bot Telegram
Dans certains cas, le voleur de données est associé à des chevaux de Troie d'accès à distance comme XWorm pour étendre son contrôle sur l'ordinateur et les données de la victime. À la fin de l'attaque, il a été découvert que le voleur de données Noodlophile communiquait avec les attaquants via un bot Telegram, un moyen secret pour eux de transmettre les données volées à des tiers
Les cybercriminels utilisent fréquemment Telegram, qui compte plus de 900 millions d'utilisateurs actifs quotidiens, pour échanger des bases de données volées, desdentd'utilisateurs, des informations de cartes bancaires et autres données sensibles. Ce site est également utilisé par les fraudeurs pour communiquer entre eux, partager des techniques de piratage et vendre des produits illégaux.
En tant que Cryptopolitan fondateur de Telegram, Pavel Durov, a été arrêté pour son implication dans des activités illicites liées à l'application. Durov a toutefois affirmé que son entreprise préférait se retirer du marché national plutôt que de divulguer des messages privés.
« En douze ans d’existence, Telegram n’a jamais divulgué le moindre octet de messages privés », Durov . « Conformément à la directive européenne sur les services numériques, si elle reçoit une ordonnance judiciaire valide, Telegram ne divulguera que les adresses IP et les numéros de téléphone des suspects, et non les messages. »
Le logiciel malveillant Noodlophile proviendrait du Vietnam, comme l'indique une page GitHub qui décrit l'utilisateur comme « un développeur de logiciels malveillants passionné originaire du Vietnam ». De plus, il a été observé en train de répondre à des publications Facebook faisant la promotion de cette nouvelle méthode. Les forces de l'ordre affirment que la cybercriminalité est particulièrement répandue en Asie du Sud-Est et que Facebook a déjà été utilisé par le passé pour diffuser des logiciels malveillants.
