Los generadores de video impulsados por inteligencia artificial se han convertido en herramientas muy buscadas por creadores de contenido, marketers y entusiastas de la tecnología. Su promesa de transformar texto en video de forma automática resulta irresistible, pero algunos cibercriminales han encontrado en esta tendencia la excusa perfecta para engañar. Bajo nombres llamativos como "Dream Machine", han comenzado a circular plataformas falsas que simulan ser soluciones avanzadas de IA, promocionadas en grupos de alta visibilidad en redes sociales como Facebook.
Detrás de estas supuestas innovaciones se esconde Noodlphile, una nueva y peligrosa familia de malware diseñada para robar información sensible, desde contraseñas hasta credenciales bancarias. Esta amenaza se disfraza de generadores de video, engañando a los usuarios para que descarguen software malicioso bajo la apariencia de contenido multimedia generado.
Aunque el uso de la IA como gancho para distribuir malware no es nuevo, una reciente investigación revela que Noodlphile representa una evolución en las tácticas empleadas por los atacantes más experimentados.
Noodlphile ya se está moviendo por foros de la dark web, donde lo ofrecen como parte de servicios tipo “Get Cookie + Pass” (es decir, kits listos para robar contraseñas y sesiones). Todo apunta a que se trata de una nueva operación de malware como servicio (MaaS), y detrás estarían actores que hablan vietnamita, lo que sugiere que no es un experimento amateur, sino algo bien organizado.
Anuncio de Facebook que lleva a los usuarios a sitios web maliciosos (Fuente: Morphisec)
Todo empieza cuando la víctima entra en uno de estos sitios falsos y sube sus archivos creyendo que va a recibir un video generado con IA. Poco después, se le ofrece un archivo ZIP que, en teoría, contiene ese video.
Pero en lugar del video prometido, el ZIP trae un ejecutable con un nombre trampa: Video Dream MachineAI.mp4.exe. También viene con una carpeta oculta llena de archivos que el malware necesita para las siguientes fases de la infección. Si estás en Windows y tienes desactivadas las extensiones de archivo (¡deberías activarlas siempre!), ese archivo puede parecer, a simple vista, un inocente video MP4.
Aunque el nombre diga “.mp4”, en realidad es un programa de 32 bits escrito en C++, disfrazado para parecer legítimo. Para hacerlo aún más convincente, usa un certificado falso creado con Winauth y se basa en una versión modificada de CapCut, una app real de edición de video. Este disfraz no solo engaña al usuario promedio, sino que también ayuda a saltarse algunas soluciones de seguridad.
Un sitio de DreamMachine que suelta la carga útil
Cuando alguien hace doble clic en ese supuesto archivo MP4, lo que en realidad pasa es que se lanza una cadena de ejecutables detrás de escena. Todo termina activando un script (llamado algo como install.bat), que comienza a mover los hilos del ataque.
Este script aprovecha una herramienta legítima de Windows llamada certutil.exe para decodificar un archivo RAR escondido, que además viene en formato base64 y protegido con contraseña. Para colmo, se disfraza como si fuera un simple PDF. En paralelo, también crea una nueva entrada en el Registro para asegurarse de que el malware siga activo cada vez que se inicie el sistema.
Después, el ataque lanza otro archivo llamado srchost.exe, que ejecuta un script Python camuflado dentro de un archivo de texto (randomuser2025.txt). Ese script se descarga desde un servidor remoto oculto, y es lo que finalmente carga Noodlphile directamente en la memoria del equipo.
Si el sistema tiene Avast instalado, el malware intenta evitar su detección usando una técnica avanzada que inyecta el código malicioso dentro del proceso RegAsm.exe. Si no detecta ese antivirus, usa otro método: inyección de shellcode, una forma más directa de ejecutar el malware sin dejar mucho rastro.
Cadena de ejecución (fuente: Morphisec)
Podría interesarte leer: ¿Cómo y dónde ocultan su código de malware los hackers?
Noodlphile es un tipo de malware que se dedica a robar información guardada en tu navegador. Hablamos de cosas importantes como contraseñas, cookies de sesión, tokens de acceso y hasta archivos de billeteras de criptomonedas. Sí, todo eso que no querrías que cayera en manos equivocadas.
Este infostealer es relativamente nuevo; no había aparecido en los típicos reportes públicos o rastreadores de malware. Es una especie de “nuevo fichaje” en el mundo del cibercrimen. Lo curioso (y preocupante) es que no solo roba datos del navegador: también puede extraer archivos de billeteras cripto y, en algunos casos, permitir a los atacantes controlar tu equipo de forma remota.
Toda esa información robada no va a un servidor clásico (se envía a través de un bot de Telegram), que actúa como centro de operaciones oculto. Esto les permite a los atacantes recibir los datos en tiempo real, como si tuvieran una ventana abierta a tu actividad.
Y hay más: en ciertos casos, Noodlphile viene empacado junto a XWorm, un troyano que les da a los atacantes acceso remoto a tu computadora. Así no solo ven lo que tienes, también pueden moverse dentro de tu sistema, robar más cosas o instalar otros programas maliciosos. Es como dejarles la puerta abierta de par en par.
Aquí lo más importante es prevenir. No descargues archivos de páginas desconocidas o sospechosas, por muy llamativas que se vean. Siempre revisa la extensión del archivo antes de abrirlo. Si ves algo como .mp4.exe, aléjate.
Y muy importante: escanea todo lo que descargues con un antivirus actualizado antes de hacer doble clic. Puede parecer exagerado, pero te puede ahorrar un buen susto (o la pérdida de tus cuentas y datos).