コンテンツにスキップするには Enter キーを押してください

攻撃者が偽の生成AIツールに「Noodlophile」マルウェアを仕込む

投稿日 2025年5月13日

高技術フォントで書かれた「AI」という言葉

出典: Zoonar GmbH via Alamy Stock Photo

攻撃者はFacebookグループで生成AIツールを提供すると称し、ユーザーがメディアを偽の「ツール」にアップロードするとマルウェアを渡す。

セキュリティベンダーのMorphisecは5月8日に、脅威アクターがFacebookのようなソーシャルメディアサイトで「AIをテーマにしたプラットフォーム」を宣伝し、AI画像、動画、ウェブサイト、ロゴなどを生成するとしているキャンペーンを詳述した。

しかし、ユーザーが参照画像のようなものをアップロードすると、偽のウェブサイトがその素材を「処理」し、ユーザーに完成品をダウンロードするよう指示する。このキャンペーンにおける完成品は、マルウェアである。Morphisecの研究ブログ記事では、Shmuel Uzan研究者が「Noodlophile Stealer」のバリエーションについて詳述しており、これは「ブラウザの認証情報の盗難、ウォレットの流出、オプションでのリモートアクセス展開」を組み合わせたマルウェアのスイスアーミーナイフだと述べている。

LLMの誇大宣伝が盛んな時期に、このようなマルウェアキャンペーンは、個人だけでなく、無料のマーケティングツールを利用しようとする小規模ビジネスも標的にする可能性がある。

キャンペーンの仕組み

脅威アクターは、ユーザーに生成AIツールを提供すると主張するFacebookグループを作成し、特にLuma AIのDream Machine製品を装っているが、これは本来は正当なLLMツールである。

これらのグループには、ファイルやプロンプトをさまざまなメディアやマーケティング素材に変換すると約束する信頼できそうな偽のウェブサイトへのリンクが含まれている。Uzanは、「ソーシャルメディアプラットフォームを簡単に検索することで、これらの偽ツールのリーチと可視性を拡大するネットワークを作成する追加の大規模なグループにしばしばたどり着く」と説明した。

関連記事:グローバルボットネットビジネスで数百万を稼いだ後に逮捕された4人のハッカー

前述の通り、処理の最後にウェブサイトはユーザーに完成したファイルをダウンロードするよう指示する。ここでマルウェアが登場する。

「最終段階で、ユーザーは『処理された』コンテンツをダウンロードするよう指示される。実際には、彼らは知らずに悪意のあるファイルをダウンロードしている」とブログ記事には記載されている。「このファイルは、NoodlophileやXWormとバンドルされたNoodlophileなどのマルウェアをシステムにインストールし、攻撃者がデータを盗み、認証情報を収集し、感染したデバイスにリモートアクセスする可能性を与える。」

Noodlophileとそれに伴うワームは、.Netローダーや永続化スクリプトの指示など、これらの偽のウェブサイトを通じてダウンロードされる一連のコンポーネントで始まる攻撃チェーンの最後の部分としてインストールされる。Noodlophileはブラウザの認証情報、クッキー、暗号通貨を盗み、Telegramボットに送信する。Morphisecの研究には、侵害の指標が含まれている。

関連記事:SonicWallがSMAデバイスのエクスプロイトチェーンに対するパッチを発行

Noodlophile自体はマルウェアおよびマルウェア開発者を指し、Uzanはベトナム起源である可能性が高いと指摘している。このマルウェアは、マルウェア・アズ・ア・サービスのスキームの一部として提供されている。

防御者への提言

このようなキャンペーンは厄介で、経済的逆風と厳しい予算が組み合わさると、小規模・中規模のビジネスの従業員がウェブサイトにアクセスし、低コストまたは無料でマーケティング素材を作成する機会を見つける状況を生み出し、その結果、こうしたスキームを避ける訓練を受けていないために被害を受ける可能性がある。

MorphisecのCTOであるMichael Gorelikは、Dark Readingにメールで、このキャンペーンの主なターゲットはフリーランサー、AI愛好家、SMB、一般ユーザーであり、中規模企業で感染が見られたことを付け加え、少なくとも1件の「スティーラーペイロードが完全に実行される前にブロックされた」状況があったと述べている。

Gorelikは、防御者は信頼できる情報源から来ていることが知られていない無料または未確認のAIプラットフォームを避け、ビジネスと個人の活動を「厳密に分離」するべきだと述べている。また、.zipや.rarファイルのようなダウンロードされたアーカイブファイルに注意し、もちろん、フィッシングの試みやリスクのある行動を避けるようユーザーを教育することを推奨している。

翻訳元: https://www.darkreading.com/endpoint-security/attackers-fake-generative-ai-tools-malware

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です