Por Angel Di Matteo @shadowargelEn medio del auge por herramientas IA, los malos actores aprovechan el interés para difundir malware diseñado para robar criptomonedas y credenciales de las víctimas.
***
- Malware Noodlophile está siendo distribuido a través de plataformas falsas de IA en redes sociales.
- Usan páginas fraudulentas que simulan ser herramientas legítimas como editores de video o imagen.
- Se emplean canales en redes sociales como medios de distribución y comunicación de los atacantes.
Tal parece que los hackers han encontrado en la inteligencia artificial un nuevo disfraz para engañar a potenciales víctimas del sector cripto.
Según una reciente investigación de la firma de ciberseguridad Morphisec, reseñada por Cryptopolitan, un malware denominado “Noodlophile Stealer” está siendo difundido bajo la fachada de supuestas plataformas de edición IA promocionadas en redes sociales, principalmente en Facebook.
Plataformas falsas de IA como señuelo
La modalidad consiste en crear sitios que aparentan ofrecer herramientas de IA para editar imágenes o videos, con interfaces visualmente atractivas y nombres sugestivos como Luma Dreammachine AI o VideoDreamAI. Estas plataformas son luego promocionadas a través de publicaciones en grupos de Facebook o campañas virales.
Una vez que el usuario hace clic en la publicación, se le redirige a un sitio donde se le pide subir un archivo multimedia y descargar un archivo ZIP llamado VideoDreamAI.zip. Sin saberlo, este archivo contiene código malicioso que, al ejecutarse, instala el Noodlophile Stealer, un software diseñado para extraer credenciales de navegadores, información de billeteras cripto y otros datos sensibles.
El investigador de Morphisec, Shmuel Uzan, explicó que esta técnica representa una evolución en las tácticas de distribución de malware: “En lugar de depender del phishing tradicional o sitios de software pirateado, ahora construyen plataformas con temáticas de IA que parecen legítimas y las promocionan en redes sociales con gran efectividad”.
Facebook y Telegram como canales clave
Las publicaciones falsas han llegado a alcanzar hasta 62.000 visualizaciones desde una sola cuenta. Algunas de las páginas implicadas incluyen Luma Dreammaching y gratistuslibros. Al analizar la información de los desarrolladores vinculados, se descubrieron vínculos directos con la venta y distribución de malware, revelados abiertamente en sus perfiles públicos.
Además, el Noodlophile Stealer tiene la capacidad de comunicarse directamente con los atacantes mediante bots de Telegram. Esto permite que la información robada sea enviada automáticamente a través de canales cifrados, sin necesidad de servidores intermedios que puedan ser rastreados.
Telegram, con más de 900 millones de usuarios activos diarios, ha sido identificado como un espacio cada vez más utilizado por criminales cibernéticos para compartir bases de datos robadas, vender métodos de hackeo, y organizar operaciones ilegales.
El papel del malware como servicio (MaaS)
La amenaza no se limita a los usuarios individuales. El Noodlophile Stealer forma parte de un esquema más amplio conocido como malware-as-a-service (MaaS), donde herramientas maliciosas se venden o alquilan en mercados clandestinos. Entre los servicios disponibles se encuentran accesos etiquetados como Get Cookie + Pass, diseñados para facilitar la toma de control de cuentas y el robo de credenciales.
En algunos casos, el malware ha sido combinado con troyanos de acceso remoto como XWorm, ampliando las capacidades de los atacantes para controlar equipos comprometidos.
Una búsqueda del término “Noodlophile” en plataformas de ciberdelincuencia reveló comunidades activas ofreciendo esta herramienta como parte de paquetes listos para desplegar. Se cree que el desarrollador principal proviene de Vietnam, según una cuenta de GitHub que se describe como la de un “apasionado desarrollador de malware” originario del país asiático.
A raíz de estas actividades, la plataforma Telegram ha estado bajo la mirada de los reguladores. Su fundador, Pavel Durov, sostiene que su empresa se niega a compartir mensajes privados, incluso si eso implica abandonar un mercado nacional.
“En sus 12 años de historia, Telegram jamás ha revelado un solo byte de mensajes privados”, afirmó Durov. También agregó que, bajo el Digital Services Act de la Unión Europea, Telegram solo entregaría direcciones IP y números de teléfono ante una orden judicial válida, pero nunca el contenido de los mensajes.
Las autoridades han advertido que este tipo de delitos cibernéticos son particularmente frecuentes en el sudeste asiático, donde plataformas como Facebook han sido utilizadas en el pasado para distribuir software tipo stealer similar.
La combinación de ingeniería social, herramientas falsas de IA y redes sociales populares representa un nuevo frente en la lucha contra el cibercrimen. Los expertos recomiendan desconfiar de cualquier herramienta que solicite descargar archivos ZIP o ejecutables sin verificaciones, especialmente si son promocionadas en grupos abiertos de redes sociales.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Corea del Sur
Corea del Sur verá llegar los ETF cripto sin importar quien gane la presidencia: informe
Criptomonedas
Jefe de la SEC, Paul Atkins, promete regulaciones claras y más diálogo con el sector cripto
Bitcoin
Los ETF Bitcoin acumularon USD $5.750 millones en su cuarta semana de entradas
Análisis de mercado