Morphisec mới đây đã công bố một chiến dịch tấn công mạng tinh vi, trong đó các nhóm tội phạm mạng khai thác xu hướng AI để che giấu hoạt động phát tán phần mềm độc hại. Cụ thể, chúng dựng nên các nền tảng giả mạo dưới danh nghĩa công cụ tạo nội dung bằng trí tuệ nhân tạo – đặc biệt là chức năng chuyển đổi hình ảnh thành video – nhằm lừa người dùng tải về mã độc.
Các trang web này được quảng bá thông qua mạng xã hội, chủ yếu là các nhóm Facebook có lượng tương tác lớn, với một số bài đăng thu hút hàng chục nghìn lượt xem. Người dùng sau khi tải xuống “sản phẩm AI” nhận được một tệp nén chứa tập tin mang tên Video Dream MachineAI.mp4.exe – thực chất là một mã độc ngụy trang, được thiết kế để trốn tránh các cơ chế phát hiện bằng cách giả mạo định dạng tệp video thông thường.
Tập tin này là một ứng dụng C++ 32-bit, có chức năng triển khai mã độc Noodlophile Stealer, một biến thể chưa từng được ghi nhận trước đây. Loại mã độc này có khả năng đánh cắp thông tin trình duyệt (cookies, credentials), ví tiền mã hóa, token truy cập và các tệp tin nhạy cảm từ máy nạn nhân. Đáng chú ý, toàn bộ dữ liệu bị đánh cắp được chuyển đến máy chủ điều khiển của kẻ tấn công thông qua một bot Telegram, giúp đảm bảo kênh liên lạc bí mật và khó truy vết.
Trong các biến thể nâng cao, Noodlophile còn được tích hợp cùng XWorm – một mã độc truy cập từ xa (Remote Access Trojan – RAT) có cấu trúc modular. XWorm hỗ trợ nhiều kỹ thuật tinh vi như tiêm mã trực tiếp vào tiến trình hệ thống (shellcode injection), kỹ thuật PE hollowing thông qua RegAsm.exe, cũng như khả năng di chuyển ngang trong mạng. Quá trình phát tán mã độc được xây dựng theo mô hình nhiều tầng với nhiều lớp ngụy trang, bao gồm các thực thi C++ được đóng gói bằng .NET, script Python mã hóa và công cụ WinRAR giả danh.
Đỉnh điểm của chuỗi lây nhiễm là việc kích hoạt srchost.exe, một trình nạp mã độc viết bằng Python có khả năng tiêm trực tiếp cả Noodlophile và XWorm vào bộ nhớ hệ thống mà không cần lưu trữ trên ổ đĩa, nhằm tránh bị phát hiện bởi phần mềm bảo mật truyền thống.
Các bằng chứng kỹ thuật ban đầu cho thấy mã độc này có thể bắt nguồn từ một lập trình viên người Việt Nam, hoạt động tích cực trên các chợ đen mạng. Morphisec đã ghi nhận các chiến dịch quảng bá dịch vụ malware-as-a-service có liên quan đến Noodlophile thông qua Telegram, trong đó đi kèm các công cụ đánh cắp thông tin tài khoản với tên gọi “Get Cookie + Pass”.
