In der heutigen digitalen Welt erfreuen sich künstliche Intelligenz und darauf basierende Werkzeuge großer Beliebtheit. Vor allem KI-gestützte Tools zur Video- und Bildbearbeitung ziehen eine stetig wachsende Nutzerschaft an, die bequem und schnell kreative Inhalte erstellen möchte. Leider machen sich Cyberkriminelle diese zunehmende Nachfrage zunutze, indem sie gefälschte KI-Anwendungen entwickeln, die als Köder zur Verbreitung von Schadsoftware dienen. Ein aktuelles Beispiel dafür ist der Infostealer Noodlophile, der über manipulierte KI-Tools verbreitet wird und eine ernsthafte Bedrohung für Nutzer darstellt. In diesem Artikel beleuchten wir, wie Noodlophile funktioniert, wie er sich tarnt und welche Maßnahmen jeder Anwender ergreifen sollte, um sich wirksam zu schützen.
Morphisec, ein bekanntes IT-Sicherheitsunternehmen, hat kürzlich einen Bericht veröffentlicht, der die Verbreitung des Noodlophile-Stealers über fingierte KI-Tools offenlegt. Dabei handelt es sich um sogenannte Infostealer, die speziell darauf ausgelegt sind, sensible Daten von infizierten Computern auszulesen und an die Angreifer weiterzuleiten. Noodlophile wird vornehmlich über gefälschte Webseiten angeboten, die sich als innovative KI-Dienste zum Generieren von Videos ausgeben. Nutzer werden über soziale Medien sowie andere digitale Kanäle auf diese Seiten gelockt. Das Vorgehen der Angreifer ist besonders raffiniert.
Sie betreiben Fake-Webseiten mit harmlos klingenden Namen wie „Dream Machine“, die angeblich mittels künstlicher Intelligenz Videos aus vom Nutzer hochgeladenen Dateien erstellen. Hinter dieser Fassade verbirgt sich jedoch ein perfides Schadprogramm. Wird eine Datei auf diese Plattform hochgeladen, erhält der Anwender als Ergebnis ein ZIP-Archiv zurück, das vermeintlich das fertige Video enthält. Tatsächlich beinhaltet es jedoch einen ausführbaren Schadcode, der sich geschickt tarnt. Das ZIP-Archiv enthält eine Datei mit dem irreführenden Namen „Video Dream MachineAI.
mp4.exe“, der suggeriert, dass es sich dabei um eine Videodatei im MP4-Format handelt. Die Endung .exe weist aber auf eine ausführbare Datei hin. Viele Nutzer, deren Windows-System die Dateierweiterungen nicht anzeigt, erkennen diesen Trick nicht sofort.
Zusätzlich liegt eine versteckte Ordnerstruktur neben dieser Datei, welche für die spätere Ausführung der Malware notwendig ist. Die ausführbare Datei ist ein 32-Bit-Programm, das in der Programmiersprache C++ geschrieben wurde. Interessanterweise basiert es auf CapCut, einem legalen und beliebten Tool für die Videoverarbeitung. Allerdings wurde der Code modifiziert, um die Schadfunktion zu integrieren. Die Software ist zudem mit einem digitalen Zertifikat signiert, das über einen Dienst namens Winauth generiert wurde.
Diese Signatur trägt dazu bei, die Datei vertrauenswürdig erscheinen zu lassen und Sicherheitsmechanismen teilweise zu umgehen. Beim Öffnen der Datei wird ein komplexer Infektionsprozess gestartet. Es werden mehrere ausführbare Dateien initialisiert, die ein Batch-Skript mit dem Namen „Document.docx/install.bat“ aufrufen.
Dieses Skript nutzt legitime Windows-Tools wie certutil.exe, um in Base64 kodierte Daten zu dekodieren und geschützte Archive zu extrahieren. Die extrahierten Dateien enthalten den eigentlichen Schadcode. Über die Windows-Registry wird durch dieses Skript eine dauerhafte Verankerung des Schädlings im System sichergestellt, sodass eine Deinstallation deutlich erschwert wird. Anschließend wird eine Datei namens „srchost.
exe“ ausgeführt. Diese Datei enthält einen Python-Script-Code, welcher durch Code-Obfuskation verschleiert ist und von einem festkodierten externen Server geladen wird. In der Folge wird der Noodlophile-Stealer im Arbeitsspeicher ausgeführt, ohne dass unmittelbare Spuren auf dem Datenträger verbleiben. Diese Technik erschwert es klassischen Antivirenprogrammen, die Malware frühzeitig zu erkennen. Ein besonderes Detail ist der Umgang mit aktivem Avast-Schutz: Ist das Antivirus-Programm im Einsatz, wird der Angriff mittels PE-Hollowing in eine legitime Systemkomponente namens RegAsm.
exe injiziert, was zusätzliche Tarnung und Persistenz gewährleistet. Fehlt Avast, erfolgt stattdessen eine Shellcode-Injektion. Der Hauptzweck von Noodlophile ist die Entwendung von sensiblen Informationen, die in Webbrowsern gespeichert werden. Dazu zählen Benutzerkonten, Passwörter, Cookies, Sitzungsdaten, Authentifizierungs-Token sowie Daten von Kryptowährungs-Wallets. Die erbeuteten Informationen werden über Telegram-Bots an die Cyberkriminellen in Echtzeit übermittelt.
Telegram dient hierbei als C2-Server (Command and Control), wodurch die Angreifer jederzeit Zugriff auf die kompromittierten Daten haben. Eine weitere Gefährdung entsteht dadurch, dass Noodlophile teilweise gemeinsam mit dem Trojaner XWorm ausgeliefert wird. XWorm ist ein sogenanntes Remote-Access-Trojaner (RAT), das Angreifern weitreichenden Zugriff auf infizierte Systeme ermöglicht, darunter das vollständige Ausspähen oder Manipulieren von Dateien und Anwendungen. Dadurch wird der Schaden erheblich gesteigert und die Möglichkeiten zur Datenkontrolle maximiert. Die Angriffe zielen meist auf Windows-Systeme ab, die aufgrund ihrer weiten Verbreitung attraktiv für Cyberkriminelle sind.
Durch die Nutzung von legitimen Tools wie certutil.exe sowie der Signatur mit scheinbar vertrauenswürdigen Zertifikaten wird es für Sicherheitssysteme schwieriger, die Schadsoftware zu blockieren oder zu identifizieren. Zusätzlich spielt die Verbreitung über Social-Media-Kanäle eine bedeutende Rolle. Die falschen KI-Tools werden in gut gestalteten Beiträgen beworben, die je nach Inhalt über 62.000 Aufrufe generieren können.
Nutzern, die Videos und Bilder mit KI-Unterstützung bearbeiten möchten, wird dringend geraten, Anwendungen nur von offiziellen und verifizierten Quellen herunterzuladen. Das Vertrauen in unbekannte Plattformen, die unrealistische Versprechen machen und scheinbar modernste KI-Funktionen zur Verfügung stellen, kann fatale Folgen haben. Ein weiterer wichtiger Schritt zum Schutz besteht darin, stets die Anzeige von Dateierweiterungen in Windows zu aktivieren, um ausführbare Dateien zu erkennen, die als harmlose Mediendateien getarnt sind. Ebenso unverzichtbar ist der Einsatz moderner Sicherheitslösungen mit verhaltensbasiertem Schutz, regelmäßigen Updates und einem gesunden Misstrauen gegenüber ungewöhnlichen Dateien und Links. Nutzer sollten zudem die Anwendung von Backups für wichtige Dateien erwägen und bei Verdacht auf eine Infektion sofort professionelle Hilfe in Anspruch nehmen, um die Malware zu entfernen.
Die Entwicklung und Verbreitung von Schadsoftware wie Noodlophile zeigen eindrucksvoll, wie Cyberkriminelle aktuelle Trends und Technologien für ihre Zwecke missbrauchen. Gefälschte KI-Tools dienen dabei als clever getarnter Übertragungsweg, der das Vertrauen der Nutzer ausnutzt und die Sensibilität gegenüber Sicherheitsrisiken untergräbt. Nur durch Wachsamkeit, fundiertes Wissen und technische Schutzmaßnahmen kann den Angreifern der Zugang zu kritischen persönlichen und geschäftlichen Daten verweigert werden. Abschließend lässt sich sagen, dass Noodlophile exemplarisch für die zunehmende Komplexität moderner Cyberbedrohungen steht. Anwender sollten sich stets informieren, aktuelle Sicherheitsempfehlungen befolgen und besonders vorsichtig sein, wenn sie neue Software aus dem Internet beziehen – insbesondere, wenn diese mit Begriffen wie künstlicher Intelligenz beworben wird.
So lassen sich Schäden effektiv vermeiden und digitale Identitäten sowie Vermögenswerte zuverlässig schützen.
