Hacker lợi dụng trào lưu AI để cài mã độc chiếm tài khoản và ví tiền ảo

[WhiteHat Team]

Một chiến dịch tấn công tinh vi đang lợi dụng làn sóng AI để phát tán phần mềm độc hại. Cụ thể, tin tặc tạo ra các trang web giả mạo nền tảng tạo video bằng AI, dụ người dùng nhưng thực chất cài cắm mã độc Noodlophile Stealer chưa từng được ghi nhận trước đó và trojan truy cập từ xa XWorm.

​

Cách thức tấn công: Giả mạo nền tảng AI để đánh cắp thông tin​

Chiến dịch bắt đầu bằng việc quảng bá các trang web giả dạng công cụ AI thông qua nhóm Facebook giả mạo hoặc bài viết có tính lan truyền cao (hơn 62.000 lượt xem). Nạn nhân được mời tải lên ảnh hoặc video để nhận lại “video do AI tạo ra”. Tuy nhiên, file đó thực chất là một file nén ZIP, bên trong chứa một file thực thi độc hại có tên là: Video Dream MachineAI.mp4.exe. Tên file được đặt một cách cố ý đánh lừa người dùng, khiến nạn tưởng rằng đây là một file video .mp4, nhưng thực chất là một chương trình 32-bit viết bằng C++ có khả năng chạy mã độc khi mở.

Website giả mạo (Ảnh: Morphisec)​

Noodlophile Stealer và XWorm​

Noodlophile Stealer là một loại mã độc đánh cắp thông tin mới được phát hiện, có khả năng thu thập các dữ liệu nhạy cảm như tài khoản đăng nhập và cookie trình duyệt, ví tiền điện tử, token phiên đăng nhập, và các tệp tin quan trọng trên máy nạn nhân. Đặc biệt, mã độc này giao tiếp với kẻ tấn công thông qua một bot Telegram, giúp ẩn danh và truyền dữ liệu ra ngoài một cách lén lút. Theo báo cáo, ở giai đoạn cuối của cuộc tấn công, Noodlophile Stealer đã được phát hiện sử dụng Telegram bot làm kênh điều khiển và thu thập dữ liệu đánh cắp, làm tăng đáng kể độ khó phát hiện và khả năng che giấu.

Trong các biến thể nâng cao, Noodlophile được đóng gói kèm với XWorm, một loại trojan truy cập từ xa (RAT) dạng mô-đun có khả năng:

• Tiêm mã shellcode cục bộ vào tiến trình hệ thống
• Ẩn quá trình thực thi bằng kỹ thuật PE hollowing vào tiến trình RegAsm.exe, giúp mã độc chạy mà không bị phát hiện
• Di chuyển ngang và tự nhân bản trong mạng nội bộ

Gói nén độc hại sử dụng kiến trúc phát tán nhiều tầng, bao gồm hàng loạt thành phần được thiết kế để né tránh phân tích bảo mật và kích hoạt chuỗi thực thi mã độc một cách lén lút. Cụ thể:

• CapCut.exe: Tệp wrapper nặng 140MB viết bằng C++, chứa các thư viện .NET độc hại nhúng sẵn bên trong.
• AICore.dll: Một thư viện DLL hỗ trợ điều khiển, chỉ xuất hiện một hàm duy nhất dùng để kích hoạt thực thi batch file.
• Document.docx: Tệp thực thi dạng .bat được ngụy trang thành tài liệu Word, sử dụng mã hóa FF FE nhằm vô hiệu hóa các công cụ phân tích tĩnh.
• Document.pdf: Tệp RAR mã hóa Base64, được ngụy trang dưới định dạng PDF hợp lệ để đánh lừa người dùng và phần mềm quét.
• meta (images.exe): Công cụ WinRAR được đổi tên, dùng để giải nén các payload khác trong nền (silent extraction) mà không cần tương tác người dùng.
• Randomuser2025.txt: Trình loader script Python, mã hóa phức tạp và sử dụng hàm exec() để giải mã và thực thi mã độc trực tiếp trong bộ nhớ (in-memory decoding).

Cuộc tấn công kết thúc bằng việc thực thi srchost.exe – một trình tải payload viết bằng Python có nhiệm vụ tiêm mã độc Noodlophile (và tùy chọn thêm XWorm) trực tiếp vào bộ nhớ, cho phép mã độc hoạt động âm thầm mà không để lại dấu vết trên ổ đĩa. Theo điều tra ban đầu, chiến dịch này nhiều khả năng xuất phát từ một lập trình viên người Việt, đang hoạt động trên các chợ đen mạng với mô hình malware-as-a-service, sử dụng tên gọi Noodlophile và thường đi kèm công cụ chiếm đoạt tài khoản như “Get Cookie + Pass.”

Khuyến cáo​

Trước thực trạng trên, người dùng cần cảnh giác cao độ khi truy cập các nền tảng “AI miễn phí” không rõ nguồn gốc, đặc biệt là những trang yêu cầu tải về tệp thực thi (.exe) sau khi xử lý nội dung. Đây có thể là chiêu trò giả mạo tinh vi nhằm phát tán mã độc và đánh cắp dữ liệu cá nhân hoặc tài khoản nhạy cảm.