가짜 AI 도구를 통한 정보 도둑 악성코드 경고
최근에 가짜 AI 도구를 통해 정보 도둑 악성코드 Noodlophile이 전파되고 있다는 경고가 제기되었습니다. 이 악성코드는 브라우저 자격 증명, 암호화폐 지갑 정보 및 기타 민감한 데이터를 수집할 수 있는 능력을 가지고 있습니다.
전문가의 경고
보안 연구원 Morphisec의 Shmuel Uzan은 “전통적인 피싱이나 해킹된 소프트웨어 사이트에 의존하는 대신, 공격자들은 신뢰할 수 있는 AI 테마 플랫폼을 구축하여 사람들을 속입니다. 이러한 플랫폼은 종종 합법적으로 보이는 페이스북 그룹과 바이럴 소셜 미디어 캠페인에서 광고됩니다.”라고 말했습니다.
악성코드 유포 방식
공격자들은 페이스북 그룹이나 소셜 미디어 캠페인에서 광고할 수 있는 매력적인 AI 테마 플랫폼을 제작하여, 많은 사용자들이 이 플랫폼을 클릭하고 무료 AI 편집 도구를 다운로드하도록 유도합니다. 이러한 게시물은 단일 게시물로 62,000회 이상의 조회수를 기록하기도 했습니다.
확인된 가짜 소셜 미디어 페이지 중 일부는 ‘Luma Dreammachine AI’와 ‘gratistuslibros’가 있습니다. 사용자가 게시물을 클릭하면 무료 AI 편집 도구로 보이는 사이트로 연결되며, 사용자는 자신의 이미지나 비디오를 업로드하라는 메시지를 받을 수 있습니다.
이어서는 실제로는 악성 ZIP 파일인 VideoDreamAI.zip을 다운로드하라는 요청을 받습니다. 이 파일은 Noodlophile Stealer를 배포하는 파이썬 바이너리로 이어지며, 경우에 따라 XWorm과 같은 원격 액세스 트로잔과 함께 제공되어 기계와 데이터에 대한 추가 제어를 가능하게 합니다.
Noodlophile의 기원
Noodlophile 악성코드는 “베트남의 열정적인 악성코드 개발자”라는 주장과 함께 알려진 GitHub 프로필에 따라 베트남에서 기원한 것으로 추정됩니다. 사이버 범죄는 동남아시아에서 특히 만연하고 있으며, 페이스북 플랫폼을 통한 도둑 소프트웨어 배포의 이력이 있다고 당국은 밝혔습니다.
