Negli ultimi mesi si è assistito a una crescita significativa nell'uso di falsi strumenti basati sull’intelligenza artificiale per la diffusione di malware, in particolare tramite campagne social su Facebook. Un caso esemplare è quello di Noodlophile, un nuovo stealer progettato per sottrarre credenziali e dati sensibili, che sfrutta la popolarità dei servizi AI per video e immagini come esca per infettare gli utenti.

Gli attori malevoli dietro questa campagna non si affidano più solo a tradizionali phishing o siti di software pirata, ma creano piattaforme dall’aspetto credibile a tema AI, pubblicizzate in gruppi Facebook e post virali. Questi post hanno raggiunto oltre 62000 visualizzazioni, puntando a un pubblico alla ricerca di tool AI gratuiti per l’editing di video e immagini. Tra le pagine social fittizie più utilizzate si segnalano nomi come Luma Dreammachine Al e CapCut AI.

Il meccanismo di attacco è raffinato: dopo aver attirato gli utenti sulle pagine social, viene proposto un link a falsi servizi AI che promettono la creazione di contenuti come video, loghi e immagini. Una volta caricati i propri file, l’utente viene invitato a scaricare il risultato “generato dall’AI”: in realtà si tratta di un archivio ZIP malevolo, contenente un file eseguibile camuffato da video editor.

L’infezione si attiva lanciando un eseguibile legittimo di CapCut, noto editor video di ByteDance, che fa da ponte per un loader sviluppato in .NET. A sua volta, quest’ultimo scarica e attiva un payload Python dal server degli attaccanti. Il vero obiettivo è l’installazione di Noodlophile Stealer, capace di rubare password browser, dati di wallet crypto e altre informazioni sensibili. In alcuni casi, il malware viene associato anche a trojan di accesso remoto come XWorm per mantenere il controllo continuativo sul sistema compromesso.

Secondo le analisi, lo sviluppatore di Noodlophile sarebbe di origine vietnamita, proveniente da un contesto nazionale già noto per una fiorente attività cybercriminale focalizzata su Facebook. La strategia di sfruttare l’interesse “di massa” per l’AI non è nuova: già nel 2023 sono state segnalate campagne simili che usavano la notorietà di ChatGPT come esca per diffondere malware.

Questo scenario evidenzia quanto sia fondamentale prestare attenzione alla provenienza dei software AI e diffidare da offerte troppo allettanti su social network, soprattutto quando viene richiesto il download di file eseguibili. La sicurezza in rete passa anche dalla consapevolezza di queste nuove tecniche di ingegneria sociale.