Pesquisadores da Morphisec alertaram para uma nova campanha cibernética que está explorando o interesse por inteligência artificial (IA) para aplicar golpes de roubo de criptomoedas.
O ataque se baseia em plataformas falsas que oferecem serviços de criação de conteúdo com IA. Contudo, na verdade, distribuem um malware especializado em furtar dados sensíveis, incluindo credenciais de carteiras digitais.
No lugar de estratégias tradicionais, como phishing via e-mail ou distribuição de software pirateado, os criminosos optaram por criar sites temáticos de IA com aparência legítima.
A fim de roubar criptomoedasm os golpistas divulgam esses sites em grupos no Facebook e campanhas virais nas redes sociais, alcançando um grande público. Um único post dessas páginas já obteve mais de 62 mil visualizações, conforme relatório publicado pela Morphisec.
Golpes para roubo de criptomoedas
Entre as páginas falsas identificadas estão Luma Dreammachine Al, Luma Dreammachine e gratistuslibros. Os conteúdos oferecem supostos serviços de criação de vídeos, imagens, logotipos e sites com tecnologia de IA. Um exemplo é um site falso que se apresenta como “CapCut AI”, prometendo ser um editor de vídeo completo com funções baseadas em inteligência artificial.
Confira nossas sugestões de Pre-Sales para investir agora
Os usuários que interagem com essas publicações caem em sites fraudulentos, onde fazem upload de imagens ou vídeos. Em seguida, o site os induz a baixar um arquivo chamado “VideoDreamAI.zip”. Dentro do arquivo compactado, há um executável mascarado com o nome “Video Dream MachineAI.mp4.exe”, que dá início à instalação do malware ao executar um arquivo legítimo do CapCut.
A sequência de execução envolve ainda um carregador .NET (CapCutLoader) e um binário Python (srchost.exe) baixado de um servidor remoto. Este último é responsável por instalar o Noodlophile Stealer, um malware projetado para coletar dados de navegadores, credenciais de redes sociais e informações de carteiras de criptomoedas, viabilizando o roubo de criptomoedas de forma silenciosa.
Em casos específicos, o Noodlophile também é distribuído junto com o trojan de acesso remoto XWorm, permitindo que os atacantes mantenham controle prolongado sobre as máquinas infectadas.
O desenvolvedor do Noodlophile está no Vietnã, conforme perfil no GitHub criado em 16 de março de 2025. O autor se apresenta como “desenvolvedor apaixonado por malware”. Além disso, a região já possui uma reputação pela atuação de grupos criminosos especializados em campanhas de roubo de dados.
Roubo de cripto usando IA
O roubo de criptomoedas por meio de ferramentas falsas de IA não é um fenômeno novo. Afinal, em 2023, a Meta removeu mais de mil links maliciosos que usavam a imagem do ChatGPT para propagar malwares, impactando usuários em escala global.
Além do Noodlophile, outra ameaça recente foi detalhada pela CYFIRMA: o PupkinStealer, um malware baseado em .NET que exfiltra dados para um bot no Telegram. Apesar de sua simplicidade, o PupkinStealer exemplifica como ferramentas discretas ainda são eficazes para a extração de informações confidenciais sem serem detectadas.
