Cibercriminosos estão explorando o crescimento das tecnologias de inteligência artificial para aplicar golpes com foco em roubo de dados. Em uma nova campanha descoberta por pesquisadores da Morphisec, agentes maliciosos passaram a criar plataformas falsas que simulam ferramentas de IA para edição de vídeo, imagem e criação de conteúdo — tudo para distribuir um malware conhecido como Noodlophile Stealer.
Em vez de adotarem abordagens tradicionais como links de phishing ou software pirata, os invasores montaram sites temáticos que se passam por soluções legítimas. Eles utilizam páginas no Facebook, aparentemente autênticas, para promover esses serviços. Entre os perfis envolvidos estão nomes como “Luma Dreammachine AI” e “gratistuslibros”, que juntos somaram mais de 62 mil visualizações em apenas uma publicação, de acordo com o pesquisador Shmuel Uzan.
Como ferramentas de IA falsas estão sendo usadas para espalhar malware no Facebook
As postagens geralmente anunciam funcionalidades atrativas, como geração automática de vídeos, criação de logotipos ou edição inteligente de imagens. Uma das páginas, por exemplo, imitava o CapCut AI — famoso editor da ByteDance — oferecendo uma versão “avançada com inteligência artificial”. Ao clicar nos links, a vítima é levada a fazer upload de imagens ou vídeos, e logo depois, recebe a instrução para baixar o suposto conteúdo gerado por IA.
No entanto, em vez do material prometido, o usuário acaba baixando um arquivo ZIP malicioso, geralmente nomeado como “VideoDreamAI.zip”. Dentro dele, há um executável disfarçado (“Video Dream MachineAI.mp4.exe”), que inicia a infecção. O processo começa com a execução de um binário legítimo do CapCut (“CapCut.exe”), que é manipulado para carregar um segundo componente chamado CapCutLoader — um arquivo .NET responsável por ativar o verdadeiro payload malicioso: o “srchost.exe”, um binário Python hospedado remotamente.
Este arquivo é responsável por instalar o Noodlophile Stealer, malware capaz de extrair senhas salvas nos navegadores, informações de carteiras de criptomoedas e outros dados sensíveis. Em alguns casos, o malware também instala trojans de acesso remoto, como o XWorm, permitindo que os cibercriminosos controlem o sistema infectado.
A origem do Noodlophile aponta para o Vietnã. Seu suposto criador, que se descreve como um “desenvolvedor de malware apaixonado”, mantém um perfil no GitHub desde março de 2025. O país asiático já é conhecido por abrigar grupos especializados em crimes digitais, com foco frequente em golpes envolvendo Facebook e outras redes sociais.
O uso de temas populares como IA e ferramentas como o ChatGPT para espalhar ameaças não é novidade. Em 2023, a Meta revelou ter eliminado mais de mil URLs maliciosos relacionados ao ChatGPT, que eram utilizados para instalar diversas famílias de malware.
Além disso, a empresa CYFIRMA alertou recentemente sobre o surgimento do PupkinStealer, outro malware baseado em .NET voltado ao roubo de dados. Embora mais simples que o Noodlophile, ele consegue exfiltrar dados para bots no Telegram sem precisar de técnicas complexas de evasão. A ameaça representa mais um exemplo de como softwares maliciosos estão se aproveitando de tendências tecnológicas e comportamentos comuns dos usuários para agir de forma furtiva.