นักวิจัยจาก Morphisec เตือนถึงแคมเปญการโจมตีทางไซเบอร์ล่าสุดที่อาศัยความนิยมของเครื่องมือ AI หลอกล่อให้ผู้ใช้งานดาวน์โหลดมัลแวร์ตัวใหม่ชื่อ Noodlophile Stealer ซึ่งจัดอยู่ในประเภท information stealer โดยแฮกเกอร์ใช้ชื่อเครื่องมือ AI ปลอม เช่น Dream Machine หรือ CapCut เวอร์ชัน AI โพสต์ผ่านกลุ่ม Facebook และเว็บไซต์หลอกลวง เพื่อชักจูงให้เหยื่อดาวน์โหลดมัลแวร์โดยไม่รู้ตัว
ซึ่ง Noodlophile Stealer ถือเป็นมัลแวร์ที่ยังไม่เคยถูกเปิดเผยมาก่อน และขณะนี้กำลังถูกขายในฟอรัมอาชญากรรมไซเบอร์ภายใต้โมเดล malware-as-a-service ที่มาพร้อมกับเครื่องมือสำหรับขโมยข้อมูลล็อกอิน เบราว์เซอร์ และกระเป๋าเงินคริปโต ทั้งนี้ Morphisec ยังระบุว่าผู้พัฒนา Noodlophile เชื่อว่าเป็นชาวเวียดนาม ที่กำลังโปรโมตเครื่องมือนี้ผ่านโพสต์ที่มียอดเข้าชมมากกว่า 62,000 ครั้ง
กลุ่มผู้โจมตีใช้ไฟล์ ZIP ชื่อ “VideoDreamAI.zip” เพื่อหลอกให้เหยื่อดาวน์โหลด โดยให้ผู้ใช้ “อัปโหลดมีเดีย” ตามคำแนะนำ จากนั้นเมื่อแตกไฟล์ ZIP จะพบไฟล์ปลอมชื่อ “Video Dream MachineAI.mp4.exe” ซึ่งดูเหมือนเป็นไฟล์วิดีโอ แต่แท้จริงคือไฟล์ปฏิบัติการ 32-bit ที่ถูกเซ็นด้วยใบรับรองจาก Winauth ภายในเป็นไฟล์ดัดแปลงของ CapCut.exe (v445.0) ที่ถูกใช้เป็น dropper เพื่อรันโค้ดมัลแวร์ต่อเนื่อง โดยจะโหลด .NET binary ที่ชื่อ CapCutLoader ซึ่งทำหน้าที่ดึงและรันมัลแวร์ที่เขียนด้วย Python ชื่อ “srchost.exe” ซึ่งใช้สำหรับติดตั้ง Noodlophile Stealer สุดท้าย Stealer ตัวนี้จะขโมยข้อมูลจากเบราว์เซอร์ กระเป๋าคริปโต และในบางกรณียังติดตั้ง XWorm RAT (Remote Access Trojan) เพื่อเปิดช่องให้แฮกเกอร์ควบคุมระบบเหยื่อจากระยะไกล
รายงานฉบับเต็มของ Morphisec ยังแนบ Indicators of Compromise (IOCs) เพื่อให้ผู้ดูแลระบบและนักวิเคราะห์ความมั่นคงสามารถตรวจสอบและป้องกันการโจมตีแคมเปญนี้ได้ทันท่วงที
ที่มา : thaicert / วันที่เผยแพร่ 13 พฤษภาคม 2568
Link : https://www.thaicert.or.th/2025/05/14/เตือนภัย-แฮกเกอร์ใช้เคร/
