"Sahte Yapay Zekâ Video Üreticileri, Yeni Noodlophile Bilgi Hırsızı Zararlısını Yaymak İçin Kullanılıyor"​










Yapay zekâ destekli sahte video oluşturma araçları, kullanıcı dosyalarına dayalı medya içerikleri ürettiğini iddia ederek yeni bir bilgi hırsızı zararlısı olan "Noodlophile"'i yaymak için kullanılıyor.


Facebook üzerindeki yüksek görünürlüğe sahip gruplarda reklamı yapılan bu sahte araçlar, “Dream Machine” gibi dikkat çekici isimlerle sunuluyor ve kullanıcıları dosya yüklemeleri karşılığında video oluşturma vaadiyle kandırıyor.


Yapay zekâ araçlarının zararlı yazılım yaymak için kullanılması siber suçlular arasında yeni olmasa da, Morphisec tarafından keşfedilen bu son kampanya, zararlı yazılım ekosistemine yeni bir bilgi hırsızı ailesi katıyor.


Morphisec’e göre, Noodlophile, karanlık ağ forumlarında “Çerez + Şifre Al” gibi hizmetlerle birlikte paket olarak satılıyor. Bu yeni zararlı yazılım hizmeti modeli, genellikle Vietnamca konuşan tehdit aktörleri tarafından işletiliyor.





Çok Aşamalı Enfeksiyon Zinciri​


Kurban sahte siteyi ziyaret edip dosya yükledikten sonra, kendisine AI ile üretilmiş video içerdiği iddia edilen bir ZIP arşivi sunuluyor.


Ancak arşivin içinde, aslında bir .exe dosyası (Video Dream MachineAI.mp4.exe) ve enfeksiyonun devamı için gerekli gizli dosyalar bulunuyor. Windows’ta dosya uzantıları gizli ise bu dosya .mp4 gibi görünüyor ve kullanıcıyı kandırmak kolaylaşıyor.

“Video Dream MachineAI.mp4.exe, CapCut’un yasal bir sürümünün (445.0) kötüye kullanılmış hali.
Dosya adı ve sahte dijital sertifika sayesinde hem kullanıcıları hem de bazı güvenlik çözümlerini atlatabiliyor.”
— Morphisec

Facebook reklamları kullanıcıları sahte sitelere yönlendiriyor – Kaynak: Morphisec



Arka Planda Neler Oluyor?​


Kullanıcı bu sahte videoyu çalıştırdığında:

• Bir dizi yürütülebilir dosya devreye giriyor.
• install.bat adlı bir toplu komut dosyası çalıştırılıyor.
• Bu komut dosyası:
  • Windows’un yerleşik aracı olan certutil.exe ile base64 kodlu, şifreli RAR arşivini çözüyor.
  • Sisteme kalıcılık sağlamak için Kayıt Defteri’ne anahtar ekliyor.
• Ardından, srchost.exe dosyası çalıştırılarak, uzaktan indirilen gizli bir Python betiği (randomuser2025.txt) belleğe alınıyor.
• Son aşamada Noodlophile Stealer bellekten çalıştırılıyor.

Eğer sistemde Avast antivirüs tespit edilirse, zararlı yazılım PE hollowing ile RegAsm.exe içine enjekte ediliyor.
Avast yoksa, klasik shellcode enjeksiyonu kullanılıyor.

Dream Machine sitesi zararlıyı indirirken – Kaynak: Morphisec



Hangi Veriler Tehlikede?​


Noodlophile, özellikle tarayıcıda saklanan verileri hedef alıyor:

• Hesap giriş bilgileri
• Oturum çerezleri
• Erişim belirteçleri (tokens)
• Kripto cüzdan dosyaları

“Noodlophile Stealer, önceki raporlarda yer almayan, tarayıcı kimlik bilgisi hırsızlığı, cüzdan kaçırma ve uzaktan erişim yeteneklerini birleştiren yeni bir zararlıdır.”
— Morphisec

Çalınan veriler, Telegram botu üzerinden saldırganlara gönderiliyor. Bu bot, aynı zamanda gizli bir komuta kontrol (C2) sunucusu işlevi de görüyor.


Bazı durumlarda, Noodlophile zararlısı XWorm uzaktan erişim truva atı ile birlikte dağıtılıyor. Bu da saldırganlara sadece pasif bilgi toplamakla kalmayıp, doğrudan sistem kontrolü sağlama yeteneği kazandırıyor.




Tüm enfeksiyon zinciri – Kaynak: Morphisec

Korunmak İçin Ne Yapmalı?​

• Tanımadığınız sitelerden dosya indirmeyin.
• Dosya uzantılarını her zaman görünür hale getirin.
• İndirilen tüm dosyaları güncel bir antivirüs ile taramadan çalıştırmayın.