Trong kỷ nguyên bùng nổ của trí tuệ nhân tạo, các công cụ tạo video AI miễn phí đang trở thành xu hướng được nhiều người tìm kiếm. Tuy nhiên, đằng sau sự tiện lợi và hấp dẫn đó tiềm ẩn những nguy hiểm khôn lường. Một số công cụ tạo video AI lừa đảo không chỉ không mang lại kết quả như mong đợi mà còn có thể cài cắm phần mềm độc hại (malware) vào hệ thống của bạn, gây ra những hậu quả nghiêm trọng về bảo mật.
Mã Độc Noodlophile Lợi Dụng Nền Tảng AI Video Giả Mạo
Các chuyên gia bảo mật tại Morphisec gần đây đã phát hiện một chiến dịch tấn công tinh vi, sử dụng mã độc đánh cắp thông tin mang tên Noodlophile ẩn mình trong các nền tảng tạo video AI giả mạo. Những trang web lừa đảo này thường sử dụng các tên gọi hấp dẫn như “Dream Machine” và quảng bá rầm rộ trên các nhóm Facebook để thu hút người dùng.
Mục tiêu của chúng là lừa người dùng tải lên một hình ảnh mẫu, sau đó tuyên bố rằng AI của họ sẽ chuyển đổi hình ảnh đó thành video. Kết quả “tạo ra” sẽ được cung cấp dưới dạng một tệp nén ZIP để người dùng tải về. Do Windows mặc định không hiển thị phần mở rộng tệp trong File Explorer, tệp tải về này thường xuất hiện như một tệp video MP4 thông thường. Tuy nhiên, thực chất nó là một tệp thực thi (EXE) chứa phiên bản CapCut (phiên bản 445.0) đã bị sửa đổi. Đáng chú ý, tệp EXE này còn được ký bằng chứng chỉ bảo mật để tránh bị nghi ngờ, gia tăng tính lừa đảo.
Giao diện công cụ tạo video AI giả mạo chứa mã độc Noodlophile
Kịch Bản Tấn Công Chi Tiết
Khi bạn nhấp đúp vào tệp “MP4” giả mạo để xem “video AI” vừa tải xuống, thay vì phát video, nó sẽ mở CapCut và đồng thời chạy một tập lệnh batch (batch script) ẩn dưới nền. Tập lệnh này sử dụng công cụ Windows hợp pháp certutil.exe để giải nén một kho lưu trữ RAR được bảo vệ bằng mật khẩu, ngụy trang thành một tệp PDF. Nó cũng thêm một khóa registry mới vào Windows để đảm bảo quyền truy cập liên tục vào hệ thống của bạn.
Cuối cùng, một tiến trình khác được thực thi, chạy một tập lệnh Python ẩn để tải mã độc đánh cắp thông tin Noodlophile thực sự. Tập lệnh này còn kiểm tra xem phần mềm diệt virus Avast có được cài đặt trên thiết bị hay không. Nếu có, Noodlophile sẽ được tiêm vào tiến trình RegAsm.exe; ngược lại, nó sẽ được tải trực tiếp vào bộ nhớ hệ thống.
Một khi được thực thi, Noodlophile có khả năng đánh cắp dữ liệu trình duyệt của bạn từ các trình duyệt lớn bao gồm Chrome, Edge, Brave, Opera và các trình duyệt dựa trên Chromium khác mà bạn có thể đã cài đặt trên PC. Nếu bạn có bất kỳ tiện ích mở rộng ví tiền mã hóa (crypto wallet extensions) nào được cài đặt, chúng cũng sẽ bị truy quét và đánh cắp thông tin.
Nghiên cứu còn chỉ ra rằng, trong một số trường hợp, mã độc Noodlophile còn được đi kèm với XWorm, một Trojan truy cập từ xa (RAT – Remote Access Trojan). XWorm cấp cho tin tặc quyền quản trị trên hệ thống của bạn, cho phép chúng kiểm soát máy tính hoặc tải lên các mã độc khác một cách tự do. Tất cả dữ liệu bị đánh cắp sau đó được gửi về một bot Telegram, đóng vai trò như máy chủ điều khiển và kiểm soát (C2) cho mã độc, giúp tin tặc có quyền truy cập dữ liệu bị đánh cắp theo thời gian thực.
Cách Tự Bảo Vệ Khỏi Các Công Cụ AI Độc Hại
Cách tốt nhất để bảo vệ mình khỏi các loại malware nguy hiểm như Noodlophile là tuyệt đối tránh sử dụng các công cụ tạo video AI lừa đảo hoặc bất kỳ trang web nào bạn không tin tưởng. Hãy ưu tiên lựa chọn các công cụ AI uy tín và có nguồn gốc rõ ràng.
Ngoài ra, bạn nên bật tính năng hiển thị phần mở rộng tệp trong Windows 11. Tin tặc thường lợi dụng việc Windows không hiển thị phần mở rộng mặc định để thêm các phần mở rộng kép vào tệp (ví dụ: video.mp4.exe), khiến người dùng nhầm tưởng đó là tệp an toàn. Việc bật tính năng này sẽ giúp bạn dễ dàng nhận diện loại tệp thực sự mà mình đang tải xuống và chạy.
Để bảo vệ máy tính của bạn khỏi các mối đe dọa trực tuyến, hãy luôn giữ hệ điều hành và phần mềm diệt virus được cập nhật thường xuyên. Tuyệt đối không chạy các tệp đáng ngờ tải về từ internet mà chưa kiểm tra kỹ lưỡng. Hãy luôn tuân thủ việc sử dụng các công cụ web chính hãng và đáng tin cậy để đảm bảo an toàn cho dữ liệu và hệ thống của bạn.
Tài liệu tham khảo:
