网络犯罪分子利用虚假AI工具在社交媒体传播恶意软件

网络犯罪分子正在通过社交媒体平台传播伪装成人工智能工具的恶意软件，窃取用户的敏感信息。根据安全专家的说法，这些恶意软件可以获取浏览器凭据、加密货币钱包数据等重要信息。

攻击者通过创建看似可信的AI主题平台来吸引用户。这些平台伪装成合法的AI工具，但实际上是为了让人们下载隐藏其中的恶意软件。

犯罪AI主题平台通过Facebook群组宣传

主要被利用的社交媒体平台是Facebook。这些虚假的AI平台吸引了数百万对AI驱动工具感兴趣的用户，用于制作图片、音乐和视频等内容。

假AI工具是新的尼日利亚王子骗局——他们正在窃取您的密码。

以为自己正在下载热门AI视频编辑器吗？

惊喜！其实是披着羊皮的恶意软件。

黑客通过光滑的Facebook广告吸引人们，例如“Capcut AI”之类的伪造工具…https://t.co/jOuVc15ZiH pic.twitter.com/hteD7bNuoE

-Mario Nawfal（@marionawfal）2025年5月12日

Morphisec研究员Shmuel Uzan表示：“他们不再依赖传统的网络钓鱼或破解的软件网站，而是建立了令人信服的AI主题平台，并通过合法的Facebook群组和病毒式社交媒体广告进行宣传。”

这些群组中的链接通常指向开发者的个人资料页面，进一步揭示了其与恶意软件销售和分销的关联。

当用户点击这些帖子时，他们会看到免费的AI编辑工具广告，并被告知上传图片或视频。随后，他们会被引导下载名为VideoDreamai.zip的文件。这个文件看似AI工具，实际上是包含Python代码的恶意软件，能够通过窃取器窃取用户信息。

在Facebook上分享的此类帖子，单篇文章的观看次数可达62,000次。Luma Dreammachine AI、Luma Dreammaching和Gratistuslibros是一些已发现的虚假社交媒体页面。

此外，针对网络犯罪市场中“卵泡液”一词的调查显示，这种恶意软件作为恶意软件即服务（MAAS）计划的一部分被提供给用户。例如，Noodlophile工具被标记为“Get Cookie + Pass”的访问服务，专门用于账户和凭证盗窃。

Noodlophile窃取者通过电报机器人与攻击者通信

在某些情况下，这种数据窃取器还与远程访问木马（如X虫）结合使用，以获得对主机计算机及其数据的更多控制权。在攻击结束时，发现Noodlophile窃取者通过电报机器人向攻击者发送窃取的数据。

网络犯罪分子喜欢利用每日活跃用户超过9亿的电报平台交易被盗数据库、用户凭证、信用卡信息等内容。欺诈者还使用该平台交流黑客技术并出售非法商品。

据加密大都会报道，电报创始人帕维尔·杜罗夫因电报涉及非法活动而被捕。然而，杜罗夫坚持认为，他的公司宁愿退出某些国家市场，也不愿泄露用户隐私。

“在其12年的历史中，Telegram从未透露过单个私人信息的字节。”杜罗夫强调，“根据《欧盟数字服务法》，电报仅会在收到有效法院命令时披露犯罪嫌疑人的IP地址和电话号码，而不是消息内容。”

根据GitHub页面的信息，Noodlophile恶意软件被认为来自越南，页面上自称“来自越南的热情恶意软件开发者”。此外，他还被发现回应促进这种新方法的Facebook帖子。执法人员指出，网络犯罪在东南亚尤为猖獗，过去也曾通过Facebook传播类似的Stealer软件。

钥匙差线帮助加密品牌快速突破并占领头条新闻。