Noodlophile Stealer: Eine stille Bedrohung in aller Öffentlichkeit
Künstliche Intelligenz revolutioniert derzeit alles – von der Kunst bis zur Automatisierung. Cyberkriminelle haben einen neuen Ansatz gefunden, diese Faszination auszunutzen. Eine neue Malware-Variante namens „Noodlophile Stealer“ ist aufgetaucht und tarnt sich als hochmoderne KI-Software, um ahnungslose Nutzer anzulocken.
Table of Contents
Was ist Noodlophile Stealer?
Noodlophile Stealer ist eine Schadsoftware zum Sammeln von Informationen, die sich als legitime KI-Tools zur Bild- und Videogenerierung tarnt. Getarnt hinter raffinierten Marketingkampagnen und überzeugenden Benutzeroberflächen, verleitet diese Malware Nutzer zum Download, indem sie ihnen vorgaukelt, sie würden auf Content-Erstellungsplattformen der nächsten Generation zugreifen. Nach der Installation stiehlt sie heimlich Browser-Passwörter, Kryptowährungs-Wallet-Daten und andere private Nutzerinformationen ab.
Die Schadsoftware scheint das Produkt eines vietnamesischen Entwicklers zu sein, der sich auf GitHub als „leidenschaftlicher Malware-Entwickler“ bezeichnet. Sein im März 2025 erstelltes Konto deckt sich mit der Zeitleiste des Aufstiegs dieser Kampagne.
Ein anderer Ansatz zur Cyberkriminalität
Im Gegensatz zu herkömmlichen Phishing-Methoden oder Websites mit gecrackter Software verwenden die Betreiber von Noodlophile eine ausgefeiltere und sozial ausgerichtete Strategie. Gefälschte KI-Plattformen werden über gut gestaltete Facebook-Seiten und virale Social-Media-Posts beworben. Einige dieser Seiten, wie „Luma Dreammachine AI“ und „gratistuslibros“, haben mit ihren Posts, die für kostenlose, leistungsstarke KI-Tools werben, Zehntausende Aufrufe erzielt.
Diese Beiträge sollen die Aufmerksamkeit von Nutzern erregen, die nach innovativen Video- oder Bildbearbeitungstools suchen. Nach dem Anklicken werden die Nutzer auf gefälschte Websites weitergeleitet, die legitimen Diensten wie CapCut AI ähneln. Dort werden sie aufgefordert, Inhalte oder Eingabeaufforderungen hochzuladen.
Vom Download bis zur Infektion
Nachdem Nutzer mit diesen irreführenden Plattformen interagiert haben, werden sie aufgefordert, die angeblich KI-generierten Inhalte herunterzuladen. Statt einer nützlichen Ausgabe erhalten sie jedoch eine ZIP-Datei mit einem Namen wie VideoDreamAI.zip . Darin befindet sich eine ausführbare Datei mit einem irreführenden Namen, beispielsweise Video Dream MachineAI.mp4.exe .
Beim Start scheint diese Datei ein echtes Videobearbeitungsprogramm auszuführen, wahrscheinlich mit einer echten Binärdatei, die mit CapCut verknüpft ist. Im Hintergrund lädt sie jedoch eine Kette weiterer Schadsoftware und setzt schließlich den Noodlophile Stealer ein.
Der Infektionsprozess ist mehrschichtig: Ein .NET-Loader namens CapCutLoader aktiviert eine Python-basierte Nutzlast namens srchost.exe , die die Bereitstellung der Malware abschließt.
Was kann Noodlephile tun?
Sobald der Noodlophile Stealer auf dem Rechner eines Opfers eingedrungen ist, beginnt er mit dem Datenabruf. Er zielt auf Webbrowser-Anmeldeinformationen, Login-Daten und Kryptowährungs-Wallet-Informationen ab – alles, was sich monetarisieren oder weiter ausnutzen lässt. In manchen Fällen ist die Malware mit zusätzlichen Tools ausgestattet, beispielsweise Remote-Access-Trojanern wie XWorm , die Angreifern die langfristige Kontrolle über das infizierte System ermöglichen.
Diese Kombination aus heimlichem Verhalten und potenziellem Datendiebstahl macht Noodlophile zu einer gewaltigen Bedrohung, insbesondere angesichts seines harmlosen äußeren Erscheinungsbilds.
Das Gesamtbild: KI als zweischneidiges Schwert
Der Einsatz gefälschter KI-Tools als Köder in Cyber-Kampagnen ist nicht auf Noodlophile beschränkt. Ähnliche Taktiken wurden bereits früher eingesetzt. Im Jahr 2023 meldete Meta die Entfernung von über 1.000 URLs, die mit Malware-Kampagnen verknüpft waren, die KI-Branding nutzten, darunter auch Verweise auf OpenAIs ChatGPT. Diese Links waren Teil umfassenderer Bemühungen, Malware über vertrauenswürdige soziale Netzwerke zu verbreiten.
Die Attraktivität von KI-Technologien ist zu einem starken Köder für Cyberkriminelle geworden, die wissen, dass Nutzer begierig darauf sind, neue Tools zu entdecken. Diese Neugier, gepaart mit mangelndem Bewusstsein für Cybersicherheit, schafft ideale Bedingungen für Infektionen.
Auswirkungen und Vorsichtsmaßnahmen
Das Aufkommen von Noodlophile Stealer unterstreicht die Weiterentwicklung der Cyberkriminalität. Es geht nicht mehr nur um verdächtige E-Mails oder fragwürdige Downloads. Angreifer nutzen mittlerweile vertrauenswürdige Social-Media-Plattformen, professionelles Branding und beliebte Technologietrends, um Malware zu verbreiten.
Für Nutzer ist Vorsicht das Wichtigste. Vor dem Herunterladen eines KI-Tools – oder überhaupt einer Software – ist es unerlässlich, die Legitimität der Quelle zu überprüfen. Das Überprüfen offizieller Websites, die Suche nach glaubwürdigen Bewertungen und die Vorsicht vor allem, was zu gut ist, um wahr zu sein, können großen Ärger vermeiden.
Sicherheitsforscher empfehlen Unternehmen außerdem, ihre Tools zur Bedrohungserkennung zu aktualisieren, um neue Malware-Familien wie Noodlophile zu identifizieren, insbesondere solche, die nicht auf herkömmlichen Persistenz- oder Anti-Analyse-Techniken basieren.
Abschließende Gedanken
Noodlophile Stealer erinnert uns daran, dass sich Cyberbedrohungen mit den Technologietrends weiterentwickeln. Der Name mag harmlos klingen, doch seine Funktion ist alles andere als harmlos. Da künstliche Intelligenz stark in unsere alltäglichen Tools integriert ist, ist es am besten, informiert und wachsam zu bleiben, um nicht Opfer solcher betrügerischen Kampagnen zu werden.
