執行摘要
一個新型惡意軟體攻擊用於傳播 Noodlophile Stealer ,利用公眾對AI驅動內容創作工具的興趣。此報告提供攻擊鏈的技術剖析,聚焦於其規避技術、多階段Payload交付,以及與XWorm等遠端存取木馬(RAT)的整合。該攻擊採用進階混淆、社交工程及合法系統工具來繞過安全措施,對創作者及小型企業構成重大威脅。
攻擊鏈概述
感染過程包含四個主要階段,每階段均設計為規避檢測並確保持久性:
階段1:透過Fake AI平台進行社交工程
Threat actors建立詐騙網站及Facebook群組(例如「Luma DreamMachine AI」),廣告免費AI影片/圖片生成服務。這些平台誘使用戶上傳媒體檔案,隨後提示用戶下載名為
VideoDreamAI.zip
的ZIP壓縮檔。
階段2:初始Payload交付
ZIP壓縮檔包含:
-
Video Dream MachineAI.mp4.exe
:偽裝成影片檔案的32位元C++可執行檔。檔案名稱使用空白(
mp4. exe)隱藏.exe副檔名。該二進位檔案使用 Winauth 產生的憑證簽署,顯得合法。 -
隱藏資料夾 (5.0.0.1886)
:包含:
-
CapCut.exe:140MB的C++封裝器(wrapper),嵌入.NET組件以進行記憶體內執行。 -
AICore.dll:具有關鍵匯出函數cmdhelper的命令執行輔助DLL。 -
偽裝檔案(
Document.docx、Document.pdf),作為批次腳本(batch scripts)及加密壓縮檔。
-
階段3:持久性與Payload啟動
-
CapCutLoader (.NET組件)
:
-
透過對
google.com進行10次ping檢查網路連線。 -
將
Document.docx重新命名為install.bat並執行。
-
透過對
-
install.bat
:
-
使用
certutil.exe(一種LOLBin)解碼Document.pdf(Base64編碼的RAR檔案),以密碼TONGDUCKIEMDEVELOPER2025解壓縮,並透過Windows登錄Run鍵部署持久性。 -
下載並執行
srchost.exe,一個基於Python的Payload,從85.209.87[.]207獲取randomuser2025.txt。
-
使用
階段4:最終Payload執行
- Noodlophile Stealer :收集瀏覽器證(credentials)、Cookies及加密貨幣錢包。資料透過Telegram bot外洩。
-
XWorm Loader
:若偵測到Avast,則針對
RegAsm.exe部署shellcode injection或PE hollowing,以隱秘方式部署RAT。
技術深入探討
1. 檔案混淆與規避技術
-
DLL側載(DLL Side-Loading)
:
CapCut.exe濫用.NET runtime hosting API動態載入惡意程式碼,規避靜態檢測。 -
批次腳本混淆
:
Document.docx使用FF FE位元組順序標記(BOM)編碼,在標準文字編輯器中無法閱讀,直到重新命名為install.bat。 -
Memory-Only Execution
:Python Payload(
srchost.exe)完全在記憶體中執行,幾乎不留磁碟痕跡。
2. 持久性機制
-
註冊修改(Registry Modification)
:
install.bat在%LOCALAPPDATA%\SoftwareHost建立Explorer.bat,並在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下註冊。 -
反分析檢查
:
CapCutLoader若無網路連線則終止執行,防止沙箱檢測。
3. 程式碼結構與Payload分析
CapCut.exe (SHA-256: [Insert Hash])
- 大小 :140MB,嵌入275個PE檔案(大多為.NET組件),模擬合法軟體。
-
功能
:
-
載入
CapCutLoader,一個.NET模組,呼叫AICore.dll的cmdhelper進行命令執行。 -
重新命名檔案並觸發
install.bat。
-
載入
AICore.dll (匯出分析)
-
匯出函數
:90%為虛設函數,僅
cmdhelper用於執行系統命令(例如wgom("install.bat"))。
Python Payload (randomuser2025.txt)
- 混淆 :Base64編碼字串及RC4加密用於C2通訊。
-
功能
:
- 瀏覽器認證提取(Chrome、Edge、Firefox)。
- 錢包資料竊取(Electrum、Exodus、MetaMask)。
- 螢幕截圖捕捉及基於Telegram的外洩。
歸因與運營基礎設施
- 開發者檔案 :OSINT追蹤顯示可能來自越南,GitHub及Facebook檔案與惡意軟體即服務(MaaS)相關。開發者在網路犯罪論壇上廣告「Get Cookie + Pass」服務。
-
C2基礎設施
:伺服器位於
85.209.87[.]207(俄羅斯)及Telegram bot API用於資料外洩。
緩解策略
- 用戶教育 :避免從社群媒體連結下載工具;驗證網址及檔案副檔名。
-
端點防護
:部署行為檢測以識別LOLBin濫用(例如
certutil.exe解碼)。 -
網路監控
:封鎖可疑IP(例如
85.209.87.207)及Telegram API端點的流量。 - 記憶體分析 :使用Volatility等工具檢測記憶體內的Python Payload。
結論
Noodlophile攻擊展現了社交工程與技術複雜性的演進協同作用。透過利用AI趨勢及多階段混淆,攻擊者規避傳統防禦,最大化資料竊取。防禦者必須優先採用行為分析及記憶體鑑識來對抗此類威脅。
參考資料
- Threat Analysis: New Noodlophile Stealer Distributes Via Fake AI Video Generation Platforms
- Fake AI Tools Push New Noodlophile Stealer Through Facebook Ads
- Fake AI video generators drop new Noodlophile infostealer malware
- Novel Noodlophile Stealer spread via bogus AI tools, Facebook ads
- Fake AI platforms deliver malware disguised as video content
- Fake AI Tools Used to Spread Noodlophile Malware