Vermogende Facebook -pagina’s en gesponsorde advertenties op het sociale mediaplatform worden gebruikt om gebruikers te leiden om websites te vervalsen die zich voordoen als Kling AI met als doel slachtoffers te misleiden om malware te downloaden.
Kling AI is een kunstmatige intelligentie (AI) -platform om afbeeldingen en video’s uit tekst- en beeldprompts te synthetiseren. Lanceer in juni 2024, het is ontwikkeld door Kuaishou Technology, met hoofdkantoor in Beijing, China. Vanaf april 2025 heeft de service een gebruikersbestand van meer dan 22 miljoen, per gegevens van het bedrijf.
“De aanval gebruikte nep -Facebook -pagina’s en advertenties om een kwaadaardig bestand te distribueren dat uiteindelijk leidde tot de uitvoering van een externe toegang Trojan (rat), waardoor aanvallers afstandsbediening over het systeem van het slachtoffer verleende en de mogelijkheid om gevoelige gegevens te stelen,” zei Check Point.
Eerst gedetecteerd in het begin van 2025, leidt de campagne nietsvermoedende gebruikers naar een gespoofde website zoals Klingaimedia (.) Com of Klingaistudio (.) Com, waar ze worden gevraagd om door AI gegenereerde afbeeldingen of video’s direct in de browser te maken.
De website genereert echter niet het aantal multimedia zoals geadverteerd. Het biedt eerder de optie voor een vermeende afbeelding of video die in werkelijkheid een kwaadwillend Windows is dat uitvoerbaar is verborgen met dubbele extensies en Hangul Filler (0xe3 0x85 0xa4) tekens.
De payload is opgenomen in een zip-archief en fungeert als lader om een externe toegang te starten Trojan en een stealer die vervolgens contact maakt met een command-and-control (C2) -server en exfiltreert browser-opgeslagen inloggegevens, sessietokens en andere gevoelige gegevens.
De lader, naast monitoring op analysetools zoals Wireshark, OllyDBG, Procmon, ProcExp, Pestudio en Fiddler, brengt Windows-registerwijzigingen aan om persistentie op te zetten en lanceert de tweede fase door het te injecteren in een legitiem systeemproces zoals “Caspol.exe” of “Installutil.exe” To Evade Detectie.
De payload op de tweede fase, verdoezeld met .NET-reactor, is de PureHVNC-rat die contact maakt met een externe server (185.149.232 (.) 197) en wordt geleverd met mogelijkheden om gegevens te stelen van verschillende cryptocurrency-portemonnee-extensies die zijn geïnstalleerd op chroom-gebaseerde browsers. PureHVNC hanteert ook een op plug-in gebaseerde benadering om screenshots vast te leggen wanneer bijpassende banken en portefeuilles worden geopend.
Check Point zei dat het niet minder dan 70 gepromoveerde berichten van nep -sociale media -pagina’s identificeerde die zich voordoen als Kling AI. Het is momenteel niet duidelijk wie achter de campagne zit, maar bewijsmateriaal verzameld op de webpagina van de nepwebsite en sommige advertenties laten zien dat ze uit Vietnam kunnen komen.
Het gebruik van Facebook-malvertising-technieken om Stealer Malware te distribueren is een beproefde tactiek van Vietnamese dreigingsactoren, die in toenemende mate gebruik hebben gemaakt van de populariteit van generatieve AI-tools om malware te pushen.
Eerder deze maand onthulde Morphisec dat een Vietnamese dreigingsacteur gebruikte van nep-AI-aangedreven tools als kunstaas om gebruikers te verleiden een informatie-staler malware genaamd Noodlophile.
“Deze campagne, die zich voordeed als Kling AI via nepadvertenties en misleidende websites, laat zien hoe dreigingsactoren sociale engineering combineren met geavanceerde malware om toegang te krijgen tot gebruikerssystemen en persoonlijke gegevens,” zei Check Point.
“Met tactieken, variërend van bestandsmasquerading tot externe toegang en gegevensdiefstal, en tekenen die wijzen op Vietnamese dreigingsgroepen, past deze operatie in een bredere trend van steeds meer gerichte en verfijnde sociale media-aanvallen.”
De ontwikkeling komt wanneer de Wall Street Journal meldde dat Meta vecht tegen een “epidemie van oplichting”, waarbij cybercriminelen Facebook en Instagram overspoelen met verschillende soorten zwendel, variërend van romantiek -lokken tot schetsmatige koopjesadvertenties tot nep -weggeefacties. Veel van de zwendelpagina’s worden geëxploiteerd vanuit China, Sri Lanka, Vietnam en de Filippijnen, voegde het rapport toe.
Volgens Rest of World worden nep -advertenties op Telegram, Facebook en andere sociale media in toenemende mate gebruikt om jonge Indonesiërs te lokken en worden ze verhandeld tot zwendelverbindingen in Zuidoost -Azië, van waaruit ze worden gedwongen in lopende investeringszwenen en slachtoffers over de hele wereld te bedriegen.
