Trong thời đại bùng nổ của trí tuệ nhân tạo, các công cụ tạo video AI đang trở thành xu hướng được nhiều người tìm kiếm. Tuy nhiên, bên cạnh những lợi ích vượt trội, không ít công cụ miễn phí tiềm ẩn những rủi ro bảo mật nghiêm trọng. Nhiều nền tảng tạo video AI giả mạo đang lợi dụng sự phổ biến này để phân phối phần mềm độc hại, gây nguy hiểm trực tiếp đến dữ liệu và hệ thống của người dùng.
Mã Độc Noodlophile Lây Lan Qua Các Nền Tảng AI Video Giả Mạo
Theo các chuyên gia bảo mật tại Morphisec, một loại phần mềm độc hại đánh cắp thông tin mới có tên Noodlophile đang ẩn mình trong các công cụ tạo video AI giả mạo. Chiến dịch lừa đảo này sử dụng các trang web giả mạo với tên gọi hấp dẫn như “Dream Machine” và quảng bá rầm rộ trên các nhóm Facebook để thu hút nạn nhân.
Những trang web này sẽ yêu cầu người dùng tải lên một hình ảnh mẫu, hứa hẹn rằng AI sẽ chuyển đổi thành video. Kết quả sau đó được cung cấp dưới dạng một tệp nén ZIP để tải về. Hầu hết người dùng sẽ thấy tệp này có vẻ ngoài giống một tệp video MP4, bởi lẽ Windows không hiển thị phần mở rộng tệp theo mặc định trong File Explorer. Thực tế, đây là một tệp thực thi (.exe) được ngụy trang, chứa một phiên bản CapCut đã bị chỉnh sửa (phiên bản 445.0). Để tăng tính tin cậy và tránh bị phát hiện, tệp thực thi này còn được ký bằng một chứng chỉ bảo mật hợp lệ.
Giao diện công cụ tạo video AI giả mạo đang phát tán mã độc Noodlophile
Quy Trình Lây Nhiễm Phức Tạp Của Noodlophile
Khi người dùng nhấp đúp vào tệp “MP4” giả mạo để xem video AI vừa tải xuống, thay vì chỉ mở video, nó sẽ khởi chạy CapCut đồng thời chạy ngầm một tập lệnh batch (batch script). Tập lệnh này sử dụng công cụ Windows hợp pháp certutil.exe để giải nén một tệp lưu trữ RAR được bảo vệ bằng mật khẩu, ngụy trang thành một tệp PDF. Ngay lập tức sau đó, một khóa registry mới được thêm vào hệ thống Windows, giúp kẻ tấn công duy trì quyền truy cập liên tục.
Tiếp theo, một tiến trình khác được thực thi, chạy một tập lệnh Python ẩn, tải phần mềm đánh cắp thông tin chính (infostealer). Tập lệnh này cũng kiểm tra xem phần mềm diệt virus Avast có được cài đặt trên thiết bị hay không. Nếu có, infostealer sẽ được tiêm vào tiến trình RegAsm.exe; nếu không, nó sẽ được tải trực tiếp vào bộ nhớ hệ thống.
Dữ Liệu Bị Đánh Cắp và Mối Nguy XWorm RAT
Một khi đã được thực thi, Noodlophile có khả năng đánh cắp dữ liệu trình duyệt của bạn từ các trình duyệt lớn như Chrome, Edge, Brave, Opera và các trình duyệt dựa trên Chromium khác mà bạn có thể đã cài đặt trên máy tính. Nếu bạn có bất kỳ tiện ích mở rộng ví tiền điện tử (crypto wallet) nào, chúng cũng sẽ bị truy cập và đánh cắp thông tin.
Các nhà nghiên cứu phát hiện ra rằng trong một số trường hợp, phần mềm đánh cắp thông tin Noodlophile còn được đóng gói chung với XWorm – một loại trojan truy cập từ xa (Remote Access Trojan – RAT). XWorm cấp cho tin tặc đặc quyền quản trị trên hệ thống của bạn, cho phép chúng kiểm soát hoàn toàn máy tính hoặc tự do tải lên các phần mềm độc hại khác. Tất cả dữ liệu bị đánh cắp sau đó sẽ được gửi về một bot Telegram, đóng vai trò như máy chủ lệnh và điều khiển (C2 server) cho infostealer, giúp tin tặc có quyền truy cập dữ liệu theo thời gian thực.
Cách Tự Bảo Vệ Trước Các Công Cụ AI Trực Tuyến Độc Hại
Cách tốt nhất để bảo vệ bản thân khỏi các loại mã độc như Noodlophile là tuyệt đối tránh sử dụng các công cụ AI không rõ nguồn gốc hoặc bất kỳ trang web nào mà bạn không tin tưởng. Hãy luôn ưu tiên các nền tảng AI uy tín và đã được kiểm chứng.
Để chủ động nhận diện các tệp độc hại ngụy trang, bạn nên bật hiển thị phần mở rộng tệp trong Windows. Tin tặc thường thêm các phần mở rộng kép vào tệp và dựa vào việc người dùng không thấy phần mở rộng thực tế của tệp, bởi cài đặt này thường bị tắt theo mặc định trong Windows.
Hãy đảm bảo hệ điều hành và phần mềm diệt virus của bạn luôn được cập nhật phiên bản mới nhất. Tuyệt đối không chạy các tệp tải ngẫu nhiên từ internet mà không kiểm tra kỹ lưỡng. Chỉ nên sử dụng các công cụ web chính thống và đáng tin cậy để đảm bảo an toàn cho dữ liệu và thiết bị của bạn.
Nếu bạn có bất kỳ kinh nghiệm nào về việc gặp phải các phần mềm độc hại tương tự hoặc có thắc mắc về an toàn trực tuyến, đừng ngần ngại chia sẻ trong phần bình luận bên dưới!
