Tội phạm mạng đang sử dụng các công cụ AI giả mạo trên mạng xã hội để phát tán phần mềm độc hại Noodlophile. Theo một chuyên gia an ninh, phần mềm độc hại này có thể đánh cắp thông tin quan trọng như thông tin xác thực trình duyệt, thông tin ví tiền điện tử, và nhiều hơn nữa.
Những kẻ tấn công tạo ra các nền tảng với các chủ đề AI đáng tin cậy sau đó có thể được quảng bá trên phương tiện truyền thông xã hội. Chúng có thể trông giống như các công cụ AI thực sự, nhưng chúng thực sự chỉ là mặt trận để khiến mọi người tải xuống phần mềm độc hại ẩn bên trong chúng.
Các nền tảng theo chủ đề AI tội phạm được quảng cáo qua các nhóm Facebook
Nền tảng mạng xã hội chính được sử dụng là Facebook. Các nền tảng AI giả mạo đang lôi kéo hàng triệu người sử dụng các công cụ dựa trên AI mỗi ngày để tạo ra các tài liệu như nghệ thuật, âm nhạc và video từ ảnh.
CÔNG CỤ AI GIẢ LÀ HOÀNG TỬ NIGERIA MỚI — VÀ CHÚNG ĐANG TÌM KIẾM MẬT KHẨU CỦA BẠN
Bạn nghĩ rằng bạn đang tải xuống trình chỉnh sửa video AI nóng bỏng tiếp theo?
Ngạc nhiên — đó là phần mềm độc hại trong một chiếc áo choàng.
Những kẻ hacker đang lôi kéo mọi người bằng những quảng cáo Facebook bắt mắt cho các công cụ giả mạo như "CapCut AI", tích lũy… pic.twitter.com/hteD7bNuoE
— Mario Nawfal (@MarioNawfal) 12 tháng 5, 2025
Nhà nghiên cứu Morphisec, Shmuel Uzan, cho biết: “Thay vì dựa vào các trang lừa đảo truyền thống hoặc phần mềm bị crack, họ xây dựng các nền tảng có chủ đề AI thuyết phục - thường được quảng cáo qua các nhóm Facebook trông hợp pháp và các chiến dịch truyền thông xã hội lan truyền.”
Các liên kết trong các nhóm này dẫn đến hồ sơ của nhà phát triển. Tiểu sử của họ tiết lộ sự tham gia thêm vào việc bán và phân phối phần mềm độc hại.
Khi một người dùng nhấn vào một bài đăng, họ sẽ được đưa đến những gì trông giống như các công cụ chỉnh sửa AI miễn phí, nơi họ được yêu cầu tải lên một bức ảnh hoặc video. Sau đó, họ được yêu cầu tải xuống VideoDreamAI.zip, cái mà trông giống như công cụ AI nhưng thực chất là một tệp ZIP độc hại. Điều này tạo ra một mã Python cho phép sử dụng Noodlophile Stealer.
Khi được chia sẻ trên Facebook, những bài viết này đã nhận được tới 62.000 lượt xem chỉ từ một bài viết. Luma Dreammachine AI, Luma Dreammaching và gratistuslibros là một số trang mạng xã hội giả mạo đã được phát hiện.
Ngoài ra, một cuộc điều tra về thuật ngữ “Noodlophile” trên các thị trường tội phạm mạng đã phát hiện ra các nhóm cung cấp nó như một phần của phần mềm độc hại-as-a-service (MaaS). Các công cụ như Noodlophile được quảng cáo cùng với các dịch vụ truy cập được gán nhãn “Lấy Cookie + Mật khẩu,” được thiết kế cho việc chiếm đoạt tài khoản và đánh cắp thông tin xác thực.
Noodlophile Stealer nói chuyện với các kẻ tấn công thông qua một bot Telegram
Trong một số trường hợp, phần mềm độc hại thu thập dữ liệu đã được kết hợp với các Trojan truy cập từ xa như XWorm để có thêm quyền lực đối với máy tính và dữ liệu của nạn nhân. Cuối cùng của cuộc tấn công, người ta phát hiện rằng Noodlophile Stealer giao tiếp với những kẻ tấn công thông qua một bot Telegram, đây là một cách bí mật để họ gửi dữ liệu bị đánh cắp cho người khác.
Các tội phạm mạng thích sử dụng Telegram, nơi có hơn 900 triệu người dùng hàng ngày, để giao dịch cơ sở dữ liệu bị đánh cắp, thông tin đăng nhập của người dùng, thông tin thẻ tín dụng và những thứ khác. Trang web cũng được các kẻ lừa đảo sử dụng để nói chuyện với nhau, chia sẻ phương pháp hack và bán hàng hóa bất hợp pháp.
Như Cryptopolitan đã báo cáo, người sáng lập Telegram, Pavel Durov, đã bị bắt vì sự liên quan của Telegram đến các hoạt động bất hợp pháp. Tuy nhiên, Durov khẳng định rằng công ty của ông sẽ thà rút khỏi một thị trường quốc gia còn hơn là tiết lộ các tin nhắn riêng tư.
“Trong 12 năm lịch sử của mình, Telegram chưa bao giờ tiết lộ một byte nào của tin nhắn riêng tư,” Durov cho biết. “Theo Đạo luật Dịch vụ Kỹ thuật số của EU, nếu được cung cấp một lệnh tòa hợp lệ, Telegram chỉ tiết lộ địa chỉ IP và số điện thoại của các nghi phạm phạm tội, không phải tin nhắn.”
Phần mềm độc hại Noodlophile được cho là đã xuất phát từ Việt Nam, như được chỉ ra bởi một trang GitHub gọi người dùng "một nhà phát triển phần mềm độc hại nhiệt tình từ Việt Nam." Ngoài ra, anh ta đã được quan sát trả lời các bài viết trên Facebook quảng bá phương pháp mới này. Các quan chức thực thi pháp luật cho biết tội phạm mạng đặc biệt phổ biến ở Đông Nam Á và rằng Facebook cũng đã được sử dụng trong quá khứ để phát tán phần mềm đánh cắp.
Sự khác biệt CHÌA KHÓA Wire giúp các thương hiệu tiền điện tử vượt qua và chiếm lĩnh tiêu đề nhanh chóng
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Các tội phạm mạng hiện đang sử dụng các công cụ AI giả mạo trên mạng xã hội để phát tán phần mềm độc hại Noodlophile
Tội phạm mạng đang sử dụng các công cụ AI giả mạo trên mạng xã hội để phát tán phần mềm độc hại Noodlophile. Theo một chuyên gia an ninh, phần mềm độc hại này có thể đánh cắp thông tin quan trọng như thông tin xác thực trình duyệt, thông tin ví tiền điện tử, và nhiều hơn nữa.
Những kẻ tấn công tạo ra các nền tảng với các chủ đề AI đáng tin cậy sau đó có thể được quảng bá trên phương tiện truyền thông xã hội. Chúng có thể trông giống như các công cụ AI thực sự, nhưng chúng thực sự chỉ là mặt trận để khiến mọi người tải xuống phần mềm độc hại ẩn bên trong chúng.
Các nền tảng theo chủ đề AI tội phạm được quảng cáo qua các nhóm Facebook
Nền tảng mạng xã hội chính được sử dụng là Facebook. Các nền tảng AI giả mạo đang lôi kéo hàng triệu người sử dụng các công cụ dựa trên AI mỗi ngày để tạo ra các tài liệu như nghệ thuật, âm nhạc và video từ ảnh.
CÔNG CỤ AI GIẢ LÀ HOÀNG TỬ NIGERIA MỚI — VÀ CHÚNG ĐANG TÌM KIẾM MẬT KHẨU CỦA BẠN
Bạn nghĩ rằng bạn đang tải xuống trình chỉnh sửa video AI nóng bỏng tiếp theo?
Ngạc nhiên — đó là phần mềm độc hại trong một chiếc áo choàng.
Những kẻ hacker đang lôi kéo mọi người bằng những quảng cáo Facebook bắt mắt cho các công cụ giả mạo như "CapCut AI", tích lũy… pic.twitter.com/hteD7bNuoE
— Mario Nawfal (@MarioNawfal) 12 tháng 5, 2025
Nhà nghiên cứu Morphisec, Shmuel Uzan, cho biết: “Thay vì dựa vào các trang lừa đảo truyền thống hoặc phần mềm bị crack, họ xây dựng các nền tảng có chủ đề AI thuyết phục - thường được quảng cáo qua các nhóm Facebook trông hợp pháp và các chiến dịch truyền thông xã hội lan truyền.”
Các liên kết trong các nhóm này dẫn đến hồ sơ của nhà phát triển. Tiểu sử của họ tiết lộ sự tham gia thêm vào việc bán và phân phối phần mềm độc hại.
Khi một người dùng nhấn vào một bài đăng, họ sẽ được đưa đến những gì trông giống như các công cụ chỉnh sửa AI miễn phí, nơi họ được yêu cầu tải lên một bức ảnh hoặc video. Sau đó, họ được yêu cầu tải xuống VideoDreamAI.zip, cái mà trông giống như công cụ AI nhưng thực chất là một tệp ZIP độc hại. Điều này tạo ra một mã Python cho phép sử dụng Noodlophile Stealer.
Khi được chia sẻ trên Facebook, những bài viết này đã nhận được tới 62.000 lượt xem chỉ từ một bài viết. Luma Dreammachine AI, Luma Dreammaching và gratistuslibros là một số trang mạng xã hội giả mạo đã được phát hiện.
Ngoài ra, một cuộc điều tra về thuật ngữ “Noodlophile” trên các thị trường tội phạm mạng đã phát hiện ra các nhóm cung cấp nó như một phần của phần mềm độc hại-as-a-service (MaaS). Các công cụ như Noodlophile được quảng cáo cùng với các dịch vụ truy cập được gán nhãn “Lấy Cookie + Mật khẩu,” được thiết kế cho việc chiếm đoạt tài khoản và đánh cắp thông tin xác thực.
Noodlophile Stealer nói chuyện với các kẻ tấn công thông qua một bot Telegram
Trong một số trường hợp, phần mềm độc hại thu thập dữ liệu đã được kết hợp với các Trojan truy cập từ xa như XWorm để có thêm quyền lực đối với máy tính và dữ liệu của nạn nhân. Cuối cùng của cuộc tấn công, người ta phát hiện rằng Noodlophile Stealer giao tiếp với những kẻ tấn công thông qua một bot Telegram, đây là một cách bí mật để họ gửi dữ liệu bị đánh cắp cho người khác.
Các tội phạm mạng thích sử dụng Telegram, nơi có hơn 900 triệu người dùng hàng ngày, để giao dịch cơ sở dữ liệu bị đánh cắp, thông tin đăng nhập của người dùng, thông tin thẻ tín dụng và những thứ khác. Trang web cũng được các kẻ lừa đảo sử dụng để nói chuyện với nhau, chia sẻ phương pháp hack và bán hàng hóa bất hợp pháp.
Như Cryptopolitan đã báo cáo, người sáng lập Telegram, Pavel Durov, đã bị bắt vì sự liên quan của Telegram đến các hoạt động bất hợp pháp. Tuy nhiên, Durov khẳng định rằng công ty của ông sẽ thà rút khỏi một thị trường quốc gia còn hơn là tiết lộ các tin nhắn riêng tư.
“Trong 12 năm lịch sử của mình, Telegram chưa bao giờ tiết lộ một byte nào của tin nhắn riêng tư,” Durov cho biết. “Theo Đạo luật Dịch vụ Kỹ thuật số của EU, nếu được cung cấp một lệnh tòa hợp lệ, Telegram chỉ tiết lộ địa chỉ IP và số điện thoại của các nghi phạm phạm tội, không phải tin nhắn.”
Phần mềm độc hại Noodlophile được cho là đã xuất phát từ Việt Nam, như được chỉ ra bởi một trang GitHub gọi người dùng "một nhà phát triển phần mềm độc hại nhiệt tình từ Việt Nam." Ngoài ra, anh ta đã được quan sát trả lời các bài viết trên Facebook quảng bá phương pháp mới này. Các quan chức thực thi pháp luật cho biết tội phạm mạng đặc biệt phổ biến ở Đông Nam Á và rằng Facebook cũng đã được sử dụng trong quá khứ để phát tán phần mềm đánh cắp.
Sự khác biệt CHÌA KHÓA Wire giúp các thương hiệu tiền điện tử vượt qua và chiếm lĩnh tiêu đề nhanh chóng