Một chiến dịch tấn công mạng tinh vi mới đang lợi dụng làn sóng quan tâm tới trí tuệ nhân tạo (AI) để phát tán phần mềm độc hại, trong đó nổi bật là mã độc đánh cắp thông tin Noodlophile Stealer chưa từng được ghi nhận trước đây, kết hợp với trojan truy cập từ xa XWorm. Tin tặc tạo ra các trang web giả mạo nền tảng tạo video bằng AI, đánh vào tâm lý tò mò và nhu cầu sử dụng công cụ AI miễn phí của người dùng.

Chiến dịch bắt đầu bằng việc quảng bá các website giả thông qua các nhóm Facebook hoặc bài đăng lan truyền mạnh, thu hút hàng chục nghìn lượt xem. Người dùng được mời tải lên hình ảnh hoặc video để “AI xử lý”, sau đó được yêu cầu tải về một tệp nén ZIP chứa “video do AI tạo ra”. Trên thực tế, bên trong là một file thực thi độc hại có tên gây hiểu nhầm như Video Dream MachineAI.mp4.exe, lợi dụng việc ẩn phần mở rộng tệp để đánh lừa người dùng. Khi mở file, mã độc sẽ được kích hoạt ngay lập tức.

Website giả mạo

Noodlophile Stealer là một loại malware chuyên đánh cắp dữ liệu nhạy cảm, bao gồm thông tin đăng nhập, cookie trình duyệt, ví tiền điện tử, token phiên và các tệp quan trọng trên máy nạn nhân. Điểm đáng chú ý là mã độc này sử dụng bot Telegram làm kênh điều khiển và thu thập dữ liệu, giúp tin tặc ẩn danh và né tránh các cơ chế giám sát truyền thống.

Trong các biến thể nguy hiểm hơn, Noodlophile được triển khai kèm XWorm – một trojan truy cập từ xa dạng mô-đun. XWorm có khả năng tiêm mã vào tiến trình hệ thống, ẩn hoạt động bằng kỹ thuật PE hollowing, tự nhân bản và di chuyển ngang trong mạng nội bộ. Chuỗi lây nhiễm được thiết kế nhiều tầng với các tệp ngụy trang tinh vi, từ file giả mạo ứng dụng, tài liệu Office, PDF cho đến script Python được mã hóa và thực thi trực tiếp trong bộ nhớ nhằm né tránh phân tích bảo mật.

Giai đoạn cuối của cuộc tấn công sử dụng một trình tải payload để tiêm Noodlophile (và tùy chọn thêm XWorm) trực tiếp vào bộ nhớ, giúp mã độc hoạt động âm thầm mà không để lại dấu vết trên ổ đĩa. Các dấu hiệu cho thấy chiến dịch có thể liên quan tới mô hình malware-as-a-service, nhiều khả năng xuất phát từ một tác nhân nói tiếng Việt hoạt động trên chợ đen mạng.

Trước mối đe dọa này, người dùng được khuyến cáo cần hết sức cảnh giác với các nền tảng AI miễn phí không rõ nguồn gốc, đặc biệt là những dịch vụ yêu cầu tải về tệp thực thi. Việc kiểm tra kỹ nguồn gốc, định dạng tệp và tránh chạy file .exe từ các trang web không đáng tin cậy là yếu tố then chốt để giảm nguy cơ bị đánh cắp dữ liệu và xâm nhập hệ thống.