Noodlophile Stealer
Les cybercriminels profitent de la demande croissante d'outils basés sur l'IA en créant de fausses plateformes convaincantes pour inciter les utilisateurs à télécharger un dangereux logiciel malveillant de vol d'informations appelé Noodlophile. Contrairement aux arnaques par hameçonnage traditionnelles ou aux sites de distribution de logiciels piratés, ces acteurs créent des sites web d'apparence légitime, inspirés par l'IA, et les font connaître via des campagnes virales sur les réseaux sociaux et des groupes Facebook.
Table des matières
Ingénierie sociale via les médias sociaux
Ces fausses campagnes sont astucieusement diffusées sur les réseaux sociaux, certaines publications attirant plus de 62 000 vues chacune. Ces pages se font passer pour de véritables services de création de contenu utilisant l'IA et s'adressent aux utilisateurs à la recherche d'outils de montage vidéo et photo. Parmi les faux profils les plus connus, on trouve « Luma Dreammachine Al », « Luma Dreammachine » et « gratistuslibros ».
Trop beau pour être vrai : le piège de l’IA
Une fois que les utilisateurs interagissent avec les publications, ils sont redirigés vers le téléchargement de ce qu'ils croient être des services optimisés par l'IA pour créer des vidéos, des images, des logos ou des sites web. Un site frauduleux imite même CapCut AI, prétendant proposer un éditeur vidéo tout-en-un doté de fonctionnalités d'IA avancées.
La chaîne d’infection commence
Après avoir téléchargé leurs invites multimédias, les utilisateurs sont invités à télécharger le résultat généré par l'IA. Cependant, au lieu de recevoir le contenu, ils téléchargent sans le savoir une archive ZIP malveillante intitulée VideoDreamAI.zip. À l'intérieur se trouve un exécutable déguisé : Video Dream MachineAI.mp4.exe. L'exécution de ce fichier déclenche une réaction en chaîne, commençant par le lancement du fichier CapCut.exe légitime de ByteDance.
Ce binaire légitime sert d'écran de fumée pour charger un composant basé sur .NET nommé CapCutLoader, qui récupère et exécute ensuite une charge utile basée sur Python (srchost.exe) à partir d'un serveur distant.
La charge utile : Noodlophile et au-delà
La dernière charge utile est Noodlophile Stealer, un malware conçu pour exfiltrer les identifiants de navigateur, les données de portefeuille de cryptomonnaies et d'autres informations sensibles. Dans certaines variantes, le voleur est déployé avec un cheval de Troie d'accès à distance (RAT) tel que XWorm, permettant ainsi un contrôle permanent de l'appareil de la victime.
Auteur de logiciels malveillants à visage public
Les recherches d'attribution ont permis de remonter jusqu'à un individu, vraisemblablement basé au Vietnam, qui a développé Noodlophile. Ce développeur, qui se présente sur GitHub comme un « développeur de logiciels malveillants passionné originaire du Vietnam », a créé son profil le 16 mars 2025. Le Vietnam est devenu un haut lieu de la cybercriminalité, notamment en ce qui concerne les logiciels malveillants de type « vol » ciblant des plateformes comme Facebook.
L’IA comme nouvel appât pour les logiciels malveillants
Exploiter la fascination du public pour l'intelligence artificielle n'est pas nouveau. En 2023, Meta a signalé avoir supprimé plus de 1 000 URL malveillantes conçues pour se faire passer pour ChatGPT d'OpenAI. Ces liens ont été utilisés pour diffuser au moins dix familles de logiciels malveillants différentes depuis mars 2023, démontrant que les arnaques à l'IA restent un outil puissant dans l'arsenal des cybercriminels.
