Theo đó, các trang web này sử dụng những cái tên hấp dẫn như “Dream Machine” và được quảng cáo trên các nhóm nổi tiếng trên Facebook, dưới dạng các công cụ AI tiên tiến có khả năng tạo video dựa trên tệp người dùng đã tải lên.

Việc sử dụng các công cụ AI để phát tán phần mềm độc hại không phải là một khái niệm mới và đã được nhiều tội phạm mạng có kinh nghiệm áp dụng. Theo các nhà nghiên cứu của công ty an ninh mạng Morphisec (Mỹ), Noodlophile đang được rao bán trên các diễn đàn dark web, thường đi kèm với dịch vụ “Get Cookie + Pass”, các nhà nghiên cứu nhận định đây là hoạt động phần mềm độc hại theo dạng dịch vụ mới có liên quan đến các nhà phát triển đến từ Việt Nam.

Hình 1. Quảng cáo trên Facebook đưa người dùng đến các trang web độc hại

Chuỗi lây nhiễm nhiều giai đoạn

Khi nạn nhân truy cập vào trang web độc hại và tải tệp lên, họ sẽ nhận được tệp ZIP chứa video do AI tạo ra, ZIP chứa một tệp thực thi có tên Video Dream MachineAI[.]mp4[.]exe và một thư mục ẩn với nhiều tệp cần thiết cho các giai đoạn tiếp theo. Nếu người dùng Windows đã tắt phần mở rộng tệp, thì khi nhìn lướt qua, tệp đó sẽ trông giống như video MP4.

Morphisec giải thích: “Tệp Video Dream MachineAI[.]mp4[.]exe là một ứng dụng C++ 32 bit được ký bằng chứng thư số của Winauth. Tệp nhị phân này thực chất là phiên bản được sử dụng lại của CapCut, một công cụ chỉnh sửa video hợp pháp (phiên bản 445.0). Tên gọi và chứng thư số mạo danh này giúp nó tránh được sự nghi ngờ của người dùng và một số giải pháp bảo mật”.

Hình 2. Một trang web DreamMachine chèn payload độc hại

Khi nhấp đúp vào tệp MP4 giả mạo, nó sẽ thực thi một loạt các tệp thực thi cuối cùng để khởi chạy các tập lệnh độc hại (Document[.]docx/install[.]bat). Tập lệnh sử dụng công cụ Windows hợp lệ là certutil[.]exe, nhằm giải mã và trích xuất tệp lưu trữ RAR được mã hóa bằng mật khẩu base64 dưới dạng tài liệu PDF. Đồng thời, nó cũng thêm key Registry mới để duy trì sự hiện diện trong hệ thống.

Tiếp theo, tập lệnh thực thi srchost[.]exe chạy một tập lệnh Python được tối giản hóa (randomuser2025[.]txt), lấy từ địa chỉ máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công, cuối cùng thực thi Noodlophile Stealer trong bộ nhớ. Nếu bị phát hiện trên hệ thống bị xâm phạm, PE hollowing được sử dụng để đưa payload vào RegAsm[.]exe. Nếu không, shellcode injection được sử dụng để thực thi trong bộ nhớ.

Hình 3. Chuỗi thực thi hoàn chỉnh

Theo đánh giá của các nhà nghiên cứu, Noodlophile là phần mềm độc hại đánh cắp thông tin mới nhắm vào dữ liệu được lưu trữ trên trình duyệt web như thông tin tài khoản, phiên cookie, mã thông báo và tệp ví tiền điện tử.

“Noodlophile Stealer là một thành viên mới trong hệ sinh thái phần mềm độc hại. Trước đây, không được ghi nhận trong các báo cáo hoặc trình theo dõi phần mềm độc hại công khai, phần mềm độc hại này kết hợp hành vi đánh cắp thông tin đăng nhập trình duyệt, ví điện tử và thiết lập quyền truy cập từ xa”, các nhà nghiên cứu Morphisec cho biết.

Dữ liệu bị đánh cắp sẽ được truyền đi thông qua bot Telegram, đóng vai trò là máy chủ C2, cho phép kẻ tấn công truy cập thông tin bị đánh cắp theo thời gian thực. Trong một số trường hợp, Noodlophile được đóng gói cùng với XWorm, một loại Trojan truy cập từ xa (RAT), cung cấp cho kẻ tấn công khả năng đánh cắp dữ liệu cao hơn nhiều so với việc đánh cắp thông tin thụ động.

Theo khuyến cáo của các nhà nghiên cứu, cách tốt nhất để bảo vệ khỏi phần mềm độc hại là tránh tải xuống và thực thi các tệp từ các trang web không xác định. Đồng thời, luôn kiểm tra phần mở rộng tệp trước khi mở và quét tất cả các tệp đã tải xuống bằng các chương trình anti-virus mới nhất trước khi thực hiện.