Trong một báo cáo mới được công bố bởi chuyên gia bảo mật Shmuel Uzan từ hãng Morphisec, các nhóm tội phạm mạng đã phát tán mã độc Noodlophile thông qua những trang Facebook giả mạo, được “hóa trang” dưới vỏ bọc là công cụ chỉnh sửa video, tạo ảnh hay logo bằng AI. Những cái tên nghe rất "xịn sò" như Luma Dreammachine AI , Luma Dreammachine hay gratistuslibros là những ví dụ điển hình.
Các bài đăng từ những trang này không chỉ trông giống hệt giao diện chính thống mà còn được “bơm” lan truyền bằng các chiến dịch quảng bá như thật, đánh đúng vào tâm lý người dùng đang tò mò về các công cụ AI miễn phí, nhất là các tính năng tạo nội dung. Kết quả? Hơn 62.000 lượt xem chỉ với một bài đăng. Một con số khiến ngay cả những marketer thật sự cũng phải ngả mũ.
Từ AI đến... mã độc chỉ cách nhau một cú click
Kịch bản lừa đảo được dàn dựng không thể “ngọt” hơn: người dùng truy cập bài viết, được mời gọi sử dụng dịch vụ AI xịn sò để tạo ra video hay hình ảnh trong vài nốt nhạc. Một trang web giả mạo, chẳng hạn CapCut AI , sẽ mời bạn tải về một tập tin với cái tên đầy hứa hẹn VideoDreamAI.zip .
Nhưng bạn sẽ không nhận được video lung linh nào cả. Thay vào đó, tập tin ZIP chứa một mã độc ẩn trong tệp giả dạng video mang tên Video Dream MachineAI.mp4.exe . Một khi người dùng "nhẹ dạ" kích hoạt tập tin này, quá trình nhiễm mã độc bắt đầu.
Trình tự được lập trình khéo léo: đầu tiên là chạy một tệp có vẻ hợp pháp ( CapCut.exe ), rồi kích hoạt bộ nạp độc hại ( CapCutLoader ), sau đó tải thêm một mã độc Python ( srchost.exe ). Đích đến cuối cùng là phần mềm độc hại Noodlophile Stealer – một “kẻ trộm” kỹ thuật số có khả năng lục tung mọi thông tin quan trọng: từ tài khoản trình duyệt, ví tiền điện tử cho đến dữ liệu nhạy cảm của người dùng.
Trong một số tình huống, Noodlophile còn được “hỗ trợ” bởi XWorm, một trojan truy cập từ xa (RAT), cho phép tin tặc điều khiển máy tính của bạn như thể... bạn không còn là chủ nhân của nó nữa.
Tội phạm mạng "mượn danh" AI để tung hoành
Theo Morphisec, có nhiều khả năng tác giả của Noodlophile xuất phát từ khu vực Đông Nam Á – nơi từng ghi nhận nhiều chiến dịch phát tán mã độc nhắm vào người dùng Facebook.
Việc lợi dụng trào lưu AI để đánh lừa người dùng không phải chuyện hiếm. Năm 2023, Meta từng phải ra tay gỡ bỏ hơn 1.000 đường dẫn độc hại liên quan đến ChatGPT – cũng từng bị mượn danh làm “mồi nhử” để phát tán hàng loạt phần mềm gián điệp nguy hiểm.
Cùng thời điểm với phát hiện về Noodlophile, hãng bảo mật CYFIRMA cũng cảnh báo sự xuất hiện của một mã độc mới mang tên PupkinStealer, viết bằng nền tảng .NET. Mã độc này chuyên “hút” dữ liệu từ hệ điều hành Windows và lặng lẽ chuyển chúng về cho hacker thông qua... bot Telegram – tiện lợi như gọi đồ ăn nhanh.
CYFIRMA nhận định: “PupkinStealer là ví dụ điển hình cho sự nguy hiểm của các mã độc đánh cắp dữ liệu đơn giản nhưng hiệu quả, dựa vào hành vi phổ biến và khả năng ẩn mình cao để tránh bị phát hiện.”
Người dùng AI – tỉnh táo hay là mất dữ liệu
Trong bối cảnh công nghệ AI phát triển nhanh như tên lửa, tội phạm mạng cũng không đứng yên. Chúng chuyển mình nhanh không kém, tận dụng mọi sự hào hứng của cộng đồng để giăng bẫy. Những lời hứa hẹn “AI miễn phí”, “tạo video chỉ trong 3 giây”, “chỉnh ảnh bằng trí tuệ nhân tạo”... giờ đây không chỉ là lời quảng cáo, mà còn là mồi nhử nguy hiểm.
Lời khuyên dành cho người dùng?
Đừng cả tin vào các công cụ AI lạ được chia sẻ tràn lan trên Facebook.
Kiểm tra kỹ nguồn gốc phần mềm trước khi tải về.
Cập nhật phần mềm bảo mật thường xuyên.
Và quan trọng nhất: AI có thể mạnh mẽ, nhưng trí tuệ thật của bạn mới là lớp phòng vệ tốt nhất.
Tham khảo: Morphisec, The Hacker News
