С середины 2024 года в соцсетях крутится вредоносная кампания, которая маскируется под модные AI-генераторы видео. Людям показывают красивый лендинг, обещают сделать ролик за минуту, предлагают скачать установщик и на этом месте начинается реальная цель атаки. 24 января 2026 исследователь Рон Бенисти (Ron Benisty) из Morphisec опубликовал детальный разбор цепочки, которая приводит к установке стилера и краже учетных данных.
Эта история в первую очередь про создателей контента, маркетологов и небольшой бизнес. Они чаще всего ищут инструменты для быстрых видео, тестируют новые сервисы и не всегда отличают настоящий продукт от поддельного. Кампания использует именно этот момент: AI сейчас в тренде, доверие высокое, желание попробовать сильнее привычной осторожности.
Схема начинается с файла, который выглядит как установщик AI-инструмента. Но внутри не обычный инсталлятор, а архив с набором компонентов. Один из файлов называется Document.docx, но по факту это пакетный скрипт, переименованный и дополнительно замаскированный маркером FF FE, чтобы затруднить чтение. В архиве также лежит легитимная DLL, которая нужна для подгрузки вредоносного кода через подмену загрузки библиотек, и собственно полезная нагрузка, стилер на Python, который связывается с управляющим каналом через Telegram.
Почему анализ этой кампании такой болезненный
Самая странная и запоминающаяся часть кампании не в технике доставки, а в том, как злоумышленники спрятали код. Исходный payload весит около 15 KB. Но файл, который получают на выходе многие инструменты анализа, раздут до 116 МБ. Большая часть объема это повторяющиеся строки с вьетнамскими ругательствами, направленными против Morphisec. Фраза địt mẹ mày morphisec повторяется тысячи раз и служит мусорной прокладкой, чтобы статический анализ и песочницы захлебывались на размере и однообразии данных.
Такой прием реально ломает часть автоматических систем. Инструменты sandbox иногда падают, а форензика тратит время на обработку того, что по сути не несет смысла. Получается необычный эффект: 99 процентов мусора и 1 процент кода, но именно этот один процент делает работу.
Что ворует стилер и как утекают данные
По функциональности это классический инфостилер, но с акцентом на то, что востребовано у людей, работающих с контентом и криптой. Он собирает учетные данные из браузеров, включая Chrome, Edge и Firefox. Отдельно упоминается обход app-bound encryption через внедрение DLL, то есть попытки добраться до данных там, где они защищены на уровне приложения. Также в списке интересов криптокошельки MetaMask, Trust Wallet и Exodus, учетные данные VPN-клиентов, токены утилит для работы с облаками, таких как AWS CLI и Azure CLI, данные подключенных файловых шар и Discord токены.
Вывод данных идет через Telegram Bot API. Это популярный канал у региональных группировок, потому что трафик выглядит легитимно, инфраструктура дешевая, а управление удобно. Дальше украденное монетизируется через подписочные схемы внутри Telegram, где перепродажа и автоматизация часто устроены как отдельный сервис.
Почему говорят о вьетнамском следе
Morphisec указывает на набор признаков, которые ведут к вьетнамским киберпреступникам. В тексте и мусорной прокладке используется вьетнамский язык, инфраструктурные паттерны пересекаются с тем, что Mandiant отслеживает как UNC6032, а техники подмены загрузки библиотек и использование Telegram как канала управления хорошо ложатся в то, что исследователи видели в регионе в 2024–2025 годах.
Morphisec связывает этот кейс с волной семейств, которые уже появлялись под AI-вывеской и под видом инструментов для креаторов: Noodlophile, PXA Stealer, STARKVEIL, XWORM. В их наблюдениях эти группы регулярно используют хайп вокруг AI и софта для творчества, включая маскировку под Blender-файлы и псевдоинструменты для генерации контента.
Эта кампания показывает две вещи. Во-первых, хайп вокруг AI стал удобной упаковкой для вредоносных загрузок, и теперь цель не только геймеры или любители пиратского софта, а люди, которые работают с контентом и деньгами. Во-вторых, атакующие начали добавлять слой персонализированного давления на исследователей и вендоров, превращая обфускацию в инструмент и для обхода анализа, и для публичного троллинга.
Morphisec в качестве подхода защиты упоминает проактивные механизмы вроде Automated Moving Target Defense (AMTD), когда поверхность атаки меняется динамически и защита меньше зависит от сигнатур. Это не универсальное лекарство, но в таких кейсах мысль понятна: если злоумышленник прячет код в мусоре и обходит статический анализ, ставку приходится делать на поведение и на меры, которые ломают цепочку исполнения, а не на поиск конкретной строки в файле.
Если инструмент для AI-видео предлагает скачать установщик с неизвестного сайта, это уже красный флаг. Именно на этом шаге кампания и выигрывает.
