In der heutigen digitalen Welt, in der Künstliche Intelligenz (KI) rasant an Bedeutung gewinnt, entstehen zunehmend neue Bedrohungen für die Cybersicherheit. Eine alarmierende Entwicklung zeigt sich aktuell in Form einer gezielten Malware-Kampagne, bei der gefälschte KI-basierte Tools genutzt werden, um die Noodlophile Malware über Facebook zu verbreiten. Dabei wurden bereits mehr als 62.000 potenzielle Opfer über virale Beiträge und Facebook-Gruppen angelockt. Diese neue Welle der Cyberkriminalität nimmt besonders Nutzer ins Visier, die an innovativen KI-gestützten Anwendungen für Video- und Bildbearbeitung interessiert sind.
Die Bandbreite der veröffentlichten Lockmittel reicht von vermeintlichen Videoeditoren bis hin zu Plattformen, die vermeintlich KI-generierte Inhalte wie Logos oder Webseiten anbieten. Cybersecurity-Experten warnen eindringlich vor diesen scheinbar harmlosen Angeboten, die sich in Wahrheit als tückische Fallen entpuppen. Die Verbreitung schädlicher Software hat sich weiterentwickelt. Statt traditionelle Phishing-Attacken oder eingeschleuste Schadsoftware über unsichere Webseiten zu verwenden, setzen Angreifer zunehmend auf ausgeklügelte Täuschungsmethoden, die auf dem aktuellen Hype um KI basieren. Sie gestalten täuschend echte KI-Themenplattformen, deren Erscheinungsbild professionell und vertrauenswürdig wirkt.
Insbesondere legitime Facebook-Gruppen dienen als Scharnier zur Verbreitung der infizierenden Links. Dazu zählen Fake-Seiten mit Namen wie „Luma Dreammachine AI“ oder „gratistuslibros“. Diese Seiten generieren eine enorme Reichweite und locken Nutzer mit verlockenden Angeboten, die angeblich den kreativen Prozess durch KI-Unterstützung revolutionieren sollen. Sobald Nutzer auf die verlinkten Webseiten klicken und dort ihre Bilder oder Videos hochladen, bitten die Plattformen um den Download der erzeugten Inhalte. Statt der erwarteten Mediendateien wird jedoch meist ein ZIP-Archiv namens „VideoDreamAI.
zip“ heruntergeladen, das die schädliche ausführbare Datei „Video Dream MachineAI.mp4.exe“ enthält. Diese Datei täuscht vor, ein normales Videoformat zu sein, startet aber beim Öffnen einen infizierenden Prozess auf dem Rechner. Bemerkenswert ist die Methodik, wie die Schadsoftware die Infektion startet: Als erstes wird ein legitimes Programm gestartet, die Windows-Anwendung „CapCut.
exe“ von ByteDance. Dieses C++-Programm dient als Tarnung für die Ausführung eines .NET-basierten Loaders mit dem Namen „CapCutLoader“. Letztlich lädt dieser eine Python-Datei („srchost.exe“) von einem entfernten Server nach, welche den Hauptschaden anrichtet.
Der Python-Code installiert den gefährlichen Noodlophile Stealer, welcher dafür entwickelt wurde, sensible Informationen des Anwenders auszuspähen. Dazu gehören neben Browser-Zugangsdaten auch Informationen zu Kryptowährungs-Wallets. Einige Varianten der Malware sind mit zusätzlichen Backdoors wie dem Remote-Access-Trojaner XWorm kombiniert, um den Angreifern noch tiefergehenden Zugang zu den infizierten Systemen zu ermöglichen. Die Noodlophile Malware stellt eine hochentwickelte Bedrohung dar, deren Ursprung laut Forschungen auf einen Malware-Entwickler aus Vietnam zurückgeht. Auf seiner GitHub-Seite beschreibt sich dieser als leidenschaftlicher Entwickler von Schadsoftware.
Seine Aktivitäten zeigen, wie Südostasien nach wie vor ein Hotspot für Cyberkriminalität ist, speziell für die Entwicklung und Verbreitung von Stealer-Malware, die Facebook-Nutzer regelmäßig ins Visier nimmt. Das Vorgehen ist symptomatisch für eine breitere Entwicklung im Bereich Cybercrime. Immer wieder versuchen Angreifer, die öffentliche Begeisterung für neue Technologien – in diesem Fall KI – zu missbrauchen, um Vertrauen zu erschleichen. Im Jahr 2023 hatte Meta bereits mehr als 1.000 schädliche URLs entfernt, die unter dem Vorwand, OpenAI's ChatGPT zu nutzen, mindestens zehn verschiedene Malware-Familien verbreiteten.
Solche Angriffe verdeutlichen, wie wichtig es ist, bei KI-bezogenen Angeboten im Internet große Vorsicht walten zu lassen. Parallel zu Noodlophile gibt es Berichte über weitere neue Malware-Familien, wie den PupkinStealer. Diese Schadsoftware ist vor allem für Windows-Systeme konzipiert und exfiltriert Daten auf besonders heimtückische Weise über Telegram-Bots. Obwohl PupkinStealer keine ausgefeilten Anti-Analyse-Mechanismen nutzt, ist seine Wirkung wegen der Nutzung allgemein anerkannter Systemprozesse und Plattformen nicht zu unterschätzen. Die schlichte, aber effektive Ausführung zeigt, dass auch vergleichsweise einfache Schadprogramme eine ernste Gefahr darstellen können, wenn sie geschickt in alltägliche Abläufe integriert sind.
Angesichts der vielfältigen Methoden der Cyberkriminellen sind Nutzer dazu angehalten, sich verstärkt mit digitalen Sicherheitsmaßnahmen auseinanderzusetzen. Es ist essenziell, kritische Quellen sorgfältig zu prüfen und niemals unbekannte Programme oder Dateien unbedacht herunterzuladen. Insbesondere Zahlungsinformationen, Passwörter und andere vertrauliche Daten sollten nur auf gesicherten und offiziellen Seiten eingegeben werden. Unternehmen und Privatpersonen profitieren von regelmäßigen Updates sowie von bewährten Sicherheitsprogrammen, die verdächtige Aktivitäten frühzeitig erkennen können. Ein besonderes Augenmerk sollte auf soziale Medien gelegt werden, da dort nicht nur legitime Werbeangebote, sondern auch professionell gestaltete Fake-Seiten mit schädlichen Absichten agieren.
