أدوات ذكاء اصطناعي مزيفة طعما لراغبين في تحرير الصور والفيديو

واشنطن – حذر السبت باحثون امنيون من حملة قرصنة تستهدف مستخدمين يبحثون عن أدوات ذكاء اصطناعي لتحرير الصور والفيديو.

ونبه الباحث شموئيل أوزان من شركة Morphisec في تقرير نُشر الأسبوع الماضي أن جهات تهديد إلكتروني بدأت تستغل أدوات مزيفة يُزعم أنها تعمل بالذكاء الاصطناعي كطُعم لخداع المستخدمين وتحميل برمجية خبيثة لسرقة المعلومات تُعرف باسم Noodlophile.

وقال أوزان: "بدلًا من الاعتماد على أساليب التصيّد التقليدية أو مواقع البرامج المقرصنة، يقوم هؤلاء المهاجمون بإنشاء منصات تبدو مقنعة ومرتبطة بالذكاء الاصطناعي، وغالبًا ما يُروَّج لها عبر مجموعات فيسبوك تبدو شرعية وحملات تنتشر بشكل فيروسي على وسائل التواصل الاجتماعي".

وشوهدت بعض المنشورات على هذه الصفحات المزيفة تحصد أكثر من 62,000 مشاهدة لمنشور واحد، ما يدل على أن الحملة تستهدف مستخدمين يبحثون عن أدوات ذكاء اصطناعي لتحرير الصور والفيديو. ومن بين الصفحات المزيفة التي تم التعرف عليها: Luma Dreammachine Al وLuma Dreammachine وgratistuslibros.

يُطلب من المستخدمين الذين يزورون هذه المنشورات الضغط على روابط تُروّج لخدمات إنشاء محتوى تعتمد على الذكاء الاصطناعي، بما يشمل إنشاء الفيديوهات، الشعارات، الصور، وحتى المواقع الإلكترونية. من بين المواقع الزائفة موقع ينتحل شخصية CapCut AI، ويعرض نفسه كـ"محرر فيديو شامل مع ميزات ذكاء اصطناعي جديدة".

بمجرد أن يرفع المستخدم غير المرتاب صورًا أو مقاطع فيديو إلى هذه المواقع، يُطلب منه تحميل المحتوى المولَّد بواسطة الذكاء الاصطناعي، ولكن في الحقيقة يتم تنزيل ملف مضغوط خبيث باسم VideoDreamAI.zip.

يحتوي الملف على برنامج تنفيذي مُضلل يُدعى "Video Dream MachineAI.mp4.exe"، يبدأ سلسلة العدوى من خلال تشغيل ملف شرعي مرتبط بمحرر الفيديو CapCut التابع لشركة ByteDance (CapCut.exe). هذا الملف التنفيذي المبني بلغة ++C يُستخدم لتشغيل محمّل مبني على .NET يُسمى CapCutLoader، والذي يقوم بدوره بتحميل حمولة بايثون عن بُعد تُدعى srchost.exe.

تُفسح هذه الحمولة المجال أمام تثبيت برمجية Noodlophile Stealer، التي تتمتع بقدرات سرقة بيانات المتصفح، معلومات محافظ العملات الرقمية، وغيرها من البيانات الحساسة. وفي بعض الحالات، تم دمج هذه البرمجية مع برنامج وصول عن بُعد مثل XWorm لضمان سيطرة مستمرة على الأجهزة المصابة.

تشير التقييمات إلى أن مطوّر برمجية Noodlophile من أصل فيتنامي، ويُعرّف نفسه على حسابه في GitHub بأنه "مطور برمجيات خبيثة شغوف من فيتنام"، وقد أنشأ حسابه في 16 مارس/آذار 2025. تجدر الإشارة إلى أن فيتنام تحتضن نظامًا بيئيًا نشطًا في مجال الجرائم الإلكترونية، مع تاريخ من توزيع برمجيات سرقة تستهدف مستخدمي فيسبوك.

ويُعتبر استغلال الاهتمام العام بالتقنيات القائمة على الذكاء الاصطناعي من قبل جهات التهديد ممارسة قديمة. ففي عام 2023، صرّحت شركة ميتا بأنها أزالت أكثر من 1,000 رابط ضار تم تداوله عبر منصاتها، استُخدم فيها اسم ChatGPT التابع لـ OpenAI كطُعم لنشر نحو 10 عائلات من البرمجيات الخبيثة منذ مارس/آذار 2023.

وفي سياق مشابه، كشفت شركة CYFIRMA عن عائلة جديدة من برمجيات السرقة المبنية على .NET تُعرف باسم PupkinStealer، لديها القدرة على سرقة مجموعة واسعة من البيانات من أنظمة ويندوز المصابة، ثم إرسالها إلى بوت على تطبيق تيليغرام يديره المهاجم.

وقالت الشركة: "لا يستخدم PupkinStealer آليات مقاومة التحليل أو تقنيات التثبيت، بل يعتمد على التنفيذ البسيط والسلوك منخفض الظهور لتفادي الكشف أثناء عمله". وأضافت: "يمثّل PupkinStealer شكلًا بسيطًا لكنه فعّال من البرمجيات الخبيثة التي تسرق البيانات، من خلال استغلال سلوكيات النظام الشائعة ومنصات مستخدمة على نطاق واسع".