Criminosos cibernéticos estão usando ferramentas falsas de IA nas redes sociais para disseminar o malware Noodlophile

Criminosos cibernéticos estão usando ferramentas falsas de IA nas redes sociais para disseminar o malware Noodlophile. De acordo com um especialista em segurança, o malware pode roubar informações importantes, comodentde navegador, dados de carteiras de criptomoedas e muito mais.

Os atacantes criam plataformas com temas de IA convincentes que podem ser promovidas nas redes sociais. Elas podem parecer ferramentas de IA reais, mas na verdade são apenas fachadas para induzir as pessoas a baixar malware que se esconde nelas.

Plataformas com temática de IA para fins criminosos são anunciadas por meio de grupos do Facebook 

A principal plataforma de mídia social utilizada é o Facebook. Plataformas falsas de IA estão atraindo milhões de pessoas que usam ferramentas baseadas em IA diariamente para criar materiais como arte, música e vídeos a partir de fotos. 

Ferramentas de IA falsas são o novo príncipe nigeriano — e estão atrás de suas senhas

Acha que está baixando o próximo editor de vídeo com IA que vai bombar?

Surpresa — é um malware disfarçado de sobretudo.

Hackers estão atraindo pessoas com anúncios sofisticados no Facebook para ferramentas falsas como "CapCut AI", acumulando… https://t.co/jOuVc15ZiH pic.twitter.com/hteD7bNuoE

-Mario Nawfal (@MarioNawfal) 12 de maio de 2025

Shmuel Uzan, pesquisador da Morphisec, afirmou: "Em vez de depender de phishing tradicional ou sites de software pirateado, eles criam plataformas convincentes com temática de IA – frequentemente anunciadas por meio de grupos do Facebook com aparência legítima e campanhas virais nas redes sociais."

Os links nesses grupos levam ao perfil do desenvolvedor. A biografia dele revela um envolvimento adicional na venda e distribuição de malware.

Quando um usuário clica em uma publicação, ele é direcionado para o que parecem ser ferramentas gratuitas de edição com IA, onde é instruído a enviar uma foto ou vídeo. Em seguida, é solicitado que baixe o arquivo VideoDreamAI.zip, que se parece com a ferramenta de IA, mas na verdade é um arquivo ZIP malicioso. Este arquivo contém um código Python que permite a utilização do Noodlophile Stealer.

Quando compartilhadas no Facebook, essas postagens alcançaram até 62.000 visualizações em apenas uma publicação. Luma Dreammachine AI, Luma Dreammaching e gratistuslibros são algumas das páginas falsas encontradas nas redes sociais.

Além disso, uma investigação do termo "Noodlophile" em mercados de crimes cibernéticos revelou grupos que o oferecem como parte de esquemas de malware como serviço (MaaS). Ferramentas como o Noodlophile são anunciadas juntamente com serviços de acesso rotulados como "Obter Cookie + Senha", projetados para roubo de contas edent. 

O ladrão Noodlophile conversa com os atacantes por meio de um bot do Telegram

Em alguns casos, o ladrão de dados foi combinado com Trojans de acesso remoto, como o XWorm, para obter ainda mais controle sobre o computador e os dados do hospedeiro. No final do ataque, descobriu-se que o Noodlophile Stealer se comunicava com os atacantes por meio de um bot do Telegram, uma forma secreta de enviar os dados roubados para outras pessoas

Criminosos cibernéticos gostam de usar o Telegram, que tem mais de 900 milhões de usuários diários, para negociar bancos de dados roubados,dentde usuários, informações de cartões de crédito e outros dados. O site também é usado por fraudadores para se comunicarem, compartilharem métodos de invasão e venderem produtos ilegais.

Conforme Cryptopolitan noticiado, o fundador do Telegram, Pavel Durov, foi preso devido ao envolvimento do Telegram em atividades ilícitas. No entanto, Durov insistiu que sua empresa prefere sair do mercado nacional a divulgar mensagens privadas.

“Em seus 12 anos de história, o Telegram nunca divulgou um único byte de mensagens privadas”, Durov . “De acordo com a Lei de Serviços Digitais da UE, se apresentado com uma ordem judicial válida, o Telegram divulgaria apenas os endereços IP e números de telefone de suspeitos de crimes, não as mensagens.”

Acredita-se que o malware Noodlophile tenha se originado no Vietnã, como demonstra uma página no GitHub que descreve o usuário como "um apaixonado desenvolvedor de malware do Vietnã". Além disso, observou-se que ele interagia com publicações no Facebook que promoviam esse novo método. Autoridades policiais afirmam que o cibercrime é particularmente comum no Sudeste Asiático e que o Facebook já foi usado anteriormente para disseminar softwares roubados.