Facebook impulsiona malware Noodlophile via anúncios falsos de AI
São Paulo — InkDesign News — Pesquisadores de segurança cibernética da Morphisec identificaram uma nova campanha de malware envolvendo a disseminação do Noodlophile Stealer por meio de plataformas falsas de inteligência artificial (IA) e anúncios no Facebook, operação esta iniciada em 2025 e focada no roubo de credenciais e carteiras de criptomoedas.
Incidente e vulnerabilidade
O ataque explora a crescente popularidade das ferramentas de IA para enganar usuários e levá-los a baixar arquivos maliciosos. A cadeia de infecção começa com sites falsos que oferecem geração gratuita de vídeos e imagens por IA. Ao fazer upload de imagens, as vítimas recebem um arquivo ZIP contendo o Noodlophile Stealer, um malware que combina o furto de credenciais de navegadores, carteiras digitais e a possível instalação remota do RAT XWorm.
Este executável, disfarçado como uma versão modificada do famoso editor de vídeo CapCut (versão 445.0), está assinado digitalmente e, ao ser executado, instala componentes adicionais, garantindo persistência no sistema e evasão por meio da execução da carga maliciosa diretamente na memória. Técnicas avançadas, como shellcode injection e PE hollowing (Técnica MITRE ATT&CK T1055.012), são usadas para evitar detecção, especialmente quando o antivírus Avast está presente.
Impacto e resposta
O Noodlophile Stealer exfiltra dados sensíveis por meio de um bot do Telegram, aumentando o risco de acessos não autorizados e perdas financeiras. A Morphisec também rastreou o desenvolvedor da ameaça, cuja origem parece ser vietnamita, o qual promove sua ferramenta em grupos do Facebook e mercados de cibercrime online. A campanha possui alcance global, com postagens que chegam a mais de 62 mil visualizações.
“This campaign stands out due to its exploitation of AI as a social engineering lure, targeting a potentially more trusting audience of creators and small businesses exploring AI.”
(“Esta campanha se destaca por explorar a IA como artifício de engenharia social, visando um público potencialmente mais confiável de criadores e pequenos negócios que exploram IA.”)— Morphisec, Pesquisadores de Segurança
Face à sofisticação e alcance do ataque, as respostas envolvem a disseminação de alertas para usuários evitarem downloads provenientes de terceiros e grupos de redes sociais, além da recomendação de se realizarem varreduras em sites como VirusTotal para verificar qualquer arquivo suspeito antes da execução.
“Even after downloading a file from a verified source, do not execute/install the program on your device before scanning it on websites like VirusTotal or ANY.RUN.”
(“Mesmo após baixar um arquivo de uma fonte verificada, não execute ou instale o programa no seu dispositivo antes de escaneá-lo em sites como VirusTotal ou ANY.RUN.”)— Morphisec, Pesquisadores de Segurança
Mitigações recomendadas
Para reduzir riscos, recomenda-se aos usuários que restrinjam downloads e instalações exclusivamente a sites oficiais e confiáveis, evitando plataformas sociais e links compartilhados em grupos. Ademais, a implementação de soluções de segurança com capacidade de detecção de técnicas de execução em memória, como a empregada pelo Noodlophile Stealer e loaders como o XWorm, é essencial. Também é prudente a constante atualização dos antivírus, firewalls e sistemas operacionais, além do uso de autenticação multifator em contas sensíveis.
Por fim, a educação contínua dos usuários sobre os riscos associados a links e arquivos recebidos por redes sociais e a realização frequente de auditorias em dispositivos corporativos e pessoais podem mitigar impactos.
Este incidente ilustra o risco de ataques sofisticados que se aproveitam da popularidade emergente das tecnologias de IA e destaca a necessidade de postura crítica e cautelosa ao interagir com conteúdos digitais, especialmente aqueles vinculados a promessas de serviços gratuitos e inovadores.
Fonte: (Hack Read – Segurança Cibernética)
