ระวังเว็บแอป AI Video Gen ปลอม หลอกปล่อยมัลแวร์ Noodlophile เข้าขโมยข้อมูลเหยื่อ

การใช้งาน AI หรือปัญญาประดิษฐ์ในการสร้างสื่อต่าง ๆ นั้นเรียกได้ว่าเป็นเรื่องที่กำลังมาแรงในปัจจุบัน ทำให้แฮกเกอร์หลายกลุ่มหลายรายพยายามใช้ประโยชน์จากกระแสนี้ในการแพร่กระจายมัลแวร์ของตนผ่านทางซอฟต์แวร์ปลอมที่อ้างว่าเป็น AI

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบแอปพลิเคชัน AI สำหรับการสร้างสื่อ หรือ Generative AI ในรูปแบบสำหรับการสร้างสื่อวิดีโอ ปลอม โดยแอปพลิเคชันดังกล่าวนั้นมีอยู่หลายชื่อ ซึ่งทางแหล่งข่าวได้ยกตัวอย่างมาชื่อหนึ่งคือ "Dream Machine" โดยแอปพลิเคชันดังกล่าวนั้นมีทั้งหน้าเว็บไซต์ปลอม และมีการโฆษณาอย่างกว้างขวางบนโซเชียลมีเดีย แอบอ้างว่าตัวแอปพลิเคชันนั้นสามารถสร้างคลิปวิดีโอจากภาพนิ่งที่เหยื่ออัปโหลดขึ้นไปได้ แต่แท้จริงแล้วสิ่งที่เหยื่อดาวน์โหลดลงมากลับไม่ใช่วิดีโอแต่เป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ที่มีชื่อว่า "Noodlophile" โดยการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจาก Morphisec บริษัทผู้เชี่ยวชาญด้านการจัดการกับภัยไซเบอร์

โดยไฟล์ที่เหยื่อดาวน์โหลดลงมาสู่เครื่องนั้นจะเป็นไฟล์นามสกุล .Zip หลังจากที่คลายไฟล์มาแล้ว ภายในจะมีไฟล์สำหรับรัน (Executable File) ที่หลอกว่าเป็นไฟล์วิดีโอด้วยผ่านการตั้งชื่อโดยการใช้นามสกุลไฟล์ (File Extension) ต่อจากสกุลไฟล์จริง อย่างเช่น Video Dream MachineAI.mp4.exe เป็นต้น หลังจากที่เหยื่อได้รันไฟล์ดังกล่าวก็จะนำไปสู่การติดตั้งมัลแวร์ผ่านการรันสคริปท์ในรูปแบบ Batch Script (Document.docx/install.bat) ผ่านการใช้เครื่องมือบน Windows อย่าง 'certutil.exe' มาช่วยในการรันไฟล์ โดยมัลแวร์จะใช้เครื่องมือดังกล่าวในการถอดรหัสและคลายไฟล์ RAR ของมัลแวร์ที่ใช้รหัสผ่านในระดับ Based-64 (ซึ่งไฟล์ดังกล่าวจะปลอมตัวเป็นไฟล์ PDF อีกทีเพื่อหลอกลวงเหยื่อ) และในขณะเดียวกันก็จะมีการแก้ไข Registry เพื่อทำให้มั่นใจว่าตัวมัลแวร์จะรันตัวเองอยู่บนระบบตลอดเวลา (Persistence)

หลังจากนั้นตัวมัลแวร์จะทำการรันไฟล์ "srchost.exe" ขึ้นมาเพื่อใช้งานในการรันสคริปท์ที่มีชื่อว่า randomuser2025.txt ซึ่งเป็นสคริปท์ที่ถูกเขียนขึ้นในภาษา Pyrhon เพื่อใช้ในการตีรวนระบบ (Obfuscation) โดยสคริปท์ตัวนี้จะถูกดึงมาจากเซิร์ฟเวอร์ที่ถูกกำหนดไว้บนโค้ดของมัลแวร์ (Hard Coded) และจบด้วยการทำการฝังมัลแวร์ Noodlophile Stealer ลงไปบนหน่วยความจำของระบบของเหยื่อ

ภาพจาก : https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-drop-new-noodlophile-infostealer-malware/

มัลแวร์ดังกล่าวมีความสามารถในการขโมยข้อมูลที่สูงมาก โดยมัลแวร์นั้นสามารถขโมยได้ทั้งไฟล์ Cookies, รหัสผ่านสำหรับเข้าใช้งานบัญชีต่าง ๆ , Token สำหรับใช้งานในการล็อกอินเข้าบริการต่าง ๆ , และไฟล์ที่เกี่ยวข้องกับกระเป๋าเงินคริปโตเคอร์เรนซีของเหยื่อ ซึ่งข้อมูลต่าง ๆ นี้จะถูกส่งไปยังบอทที่อยู่บนแอปแชท Telegram ที่ทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม หรือ C2 (Command and Control) และในบางกรณีเหยื่ออาจติดมัลแวร์อีกตัวที่แถมมากับมัลแวร์ดังกล่าว โดยมัลแวร์ตัวนี้เป็นมัลแวร์สำหรับเข้าควบคุมระบบจากทางไกล (Remote Access Trojan หรือ RAT) ที่มีชื่อว่า XWorm อีกด้วย

เห็นแบบนี้ผู้อ่านอาจต้องมีความระมัดระวังในการเลือกใช้งาน AI มากยิ่งขึ้น โดยให้เลือกบริการที่มีชื่อเสียง เชื่อถือได้ และใช้งานผ่านทางเว็บไซต์อย่างเป็นทางการจะเป็นการดีที่สุด

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv