btzgrp
  • 最新のOTレポートが重大なサイバーセキュリティ問題を明らかに - TechRepublic
Headlines

偽のAI動画ジェネレーターを通じて拡散するヌードル愛好家向けマルウェア

05 mins
偽のAI動画ジェネレーターを通じて拡散するヌードル愛好家向けマルウェア
訪問者を誘導してマルウェアをダウンロードさせることを目的とした AI ビデオ サービスを装った詐欺 Web サイトのスクリーンショット。
AI動画サービスを装い、訪問者をマルウェアのダウンロードに誘い込む詐欺ウェブサイトのスクリーンショット。画像:Morphisec

サイバー犯罪者は、偽のAIジェネレーターを使ってユーザーを誘導し、マルウェアをダウンロードさせようとしています。ユーザーがプロンプトに従って自分の画像をアップロードすると、ウェブサイトはインフォスティーラーを含むダウンロード可能なファイルを表示します。

「このファイルは、NoodlophileやXWormにバンドルされたNoodlophileなどのマルウェアをシステムにインストールし、攻撃者がデータを盗み、認証情報を収集し、感染したデバイスにリモートアクセスできる可能性がある」と、Morphisecのセキュリティ研究者シュムエル・ウザン氏は報告書に記している。

偽のAIツールがFacebookで宣伝されている

この新しい形のソーシャルエンジニアリングはFacebookから始まったようです。攻撃者は、メンバーが無料のAIツールを探しているグループに「AIをテーマにしたプラットフォーム」へのリンクを掲載しています。Uzan氏によると、これらのグループには数千人のメンバーがおり、投稿の閲覧数は最大6万2000回に達することもあります。

被害者が約束されたAIサービスへのアクセスを求める偽ウェブサイトは、正規のソフトウェアを模倣し、「Luma Dream Machine」などの名称やロゴを悪用しています。中には、TikTokの親会社であるByteDanceが所有する人気動画編集アプリ「CapCut」のロゴが含まれているものさえあります。

これらのウェブサイトは、訪問者に独自の画像や動画をアップロードするよう促し、AIがそれらをヒントにファイルを編集したり、新しいコンテンツを生成したりすると主張しています。アップロードされると、プラットフォームは参照ファイルを「処理」し、「今すぐダウンロード」ボタンを表示します。

参照: TechRepublic Premiumのマルウェアクイック用語集

被害者がAI生成コンテンツをダウンロードしようとすると感染する

被害者がボタンをクリックすると、VideoDreamAI.zipというZIPファイルがダウンロードされます。このファイルには、.NETローダー、C++ベースの実行ファイル、バッチスクリプトなどの一連のコンポーネントが含まれています。1つ目の実行ファイル(Video Dream MachineAI.mp4.exe)が2つ目の実行ファイル(CapCut.exe)を起動し、CapCut.exeが.NETローダーを実行します。

このローダーは、リモートサーバーからsrchost.exeと呼ばれるPythonペイロードをダウンロードします。このペイロードが実行されると、被害者のブラウザ認証情報、Cookie、暗号通貨ウォレット、トークンなどのデータを収集するインフォスティーラーが展開されます。これは「Noodlophile Infostealer」と呼ばれており、盗んだ情報をTelegramボットを通じて攻撃者に送信することができます。場合によっては、XWormのようなリモートアクセス型トロイの木馬もロードされます。

誰がターゲットにされているのか、そしてこのキャンペーンの何がユニークなのか

Uzanが発見した詐欺プラットフォームは、画像や動画に加えて、AI生成のウェブサイトやモックアップを提供していることから、攻撃者の標的は企業であることが示唆されます。しかし、Facebookグループをプロモーションに利用していることから、攻撃者は大企業ではなく、マーケティングコストを削減するための無料ツールを探している中小企業を狙っていると考えられます。

「このキャンペーンのユニークな点は、AIをソーシャルエンジニアリングの餌として悪用し、新たな合法的なトレンドを感染ベクターへと転換している点です」とUzan氏は述べている。「海賊版ソフトウェアやゲームチートを装った従来のマルウェアキャンペーンとは異なり、今回のキャンペーンは、より信頼性が高く、新しいユーザー層、つまり生産性向上のためにAIを模索しているクリエイターや中小企業をターゲットにしています。」

ヌードルフィールはベトナムに起源を持つと考えられている

サイバー犯罪フォーラムで「Noodlophile」という用語を検索したところ、このマルウェアがサービスとしてのマルウェア(MaaS)の一部として宣伝されていることが判明したとUzan氏は指摘した。また、このマルウェアの開発者がFacebook上で、Noodlophileインフォスティーラーに関連するアカウント乗っ取り手法を推奨する投稿にコメントを残していることも発見した。

言語やその他のソーシャルメディア上の情報から、Uzan氏は開発者はベトナム人だと推測している。GitHubのプロフィール(Noodlophileという名前は削除されている)には、サイバーセキュリティツールを販売する「熱心なマルウェア開発者」と記載されている。

Tagged:

Related News