Páginas falsificadas do Facebook e anúncios patrocinados na plataforma de mídia social estão sendo usados para direcionar usuários a sites falsos que se passam por Kling AI com o objetivo de enganar vítimas para fazerem o download de malware.
Kling AI é uma plataforma movida a inteligência artificial (AI) para sintetizar imagens e vídeos a partir de textos e prompts de imagens.
Lançado em junho de 2024, foi desenvolvido pela Kuaishou Technology, sediada em Pequim, China.
Até abril de 2025, o serviço alcançou uma base de usuários de mais de 22 milhões, segundo dados da empresa.
"O ataque utilizou páginas e anúncios falsos no Facebook para distribuir um arquivo malicioso que, em última análise, levou à execução de um Trojan de acesso remoto (RAT), concedendo aos atacantes controle remoto do sistema da vítima e a capacidade de roubar dados sensíveis," disse a Check Point.
Detectada pela primeira vez no início de 2025, a campanha conduz usuários desavisados a um site falsificado, como klingaimedia[.]com ou klingaistudio[.]com, onde são convidados a criar imagens ou vídeos gerados por IA diretamente no navegador.
Contudo, o website não gera o conteúdo multimídia conforme anunciado.
Em vez disso, oferece a opção de um arquivo de imagem ou vídeo que, na realidade, é um executável malicioso do Windows escondido usando extensões duplas e caracteres Hangul Filler (0xE3 0x85 0xA4).
O payload está incluído em um arquivo ZIP e atua como um carregador para lançar um trojan de acesso remoto e um stealer que, então, estabelece contato com um servidor de comando e controle (C2) e exfiltra credenciais armazenadas no navegador, tokens de sessão e outros dados sensíveis.
O carregador, além de monitorar ferramentas de análise como Wireshark, OllyDbg, Procmon, ProcExp, PeStudio e Fiddler, faz alterações no Registro do Windows para configurar persistência e lança a segunda etapa injetando-a em um processo do sistema legítimo como "CasPol.exe" ou "InstallUtil.exe" para evitar detecção.
O payload da segunda etapa, ofuscado usando .NET Reactor, é o RAT PureHVNC que contata um servidor remoto (185.149.232[.]197) e vem com capacidades para roubar dados de várias extensões de carteiras de criptomoedas instaladas em navegadores baseados no Chromium.
O PureHVNC também adota uma abordagem baseada em plugins para capturar capturas de tela quando títulos de janelas correspondentes a bancos e carteiras são abertos.
A Check Point disse que identificou não menos que 70 posts patrocinados de páginas de mídia social falsas se passando por Kling AI.
Atualmente, não está claro quem está por trás da campanha, mas evidências coletadas da página web do site falso e de alguns dos anúncios mostram que eles poderiam ser do Vietnã.
O uso de técnicas de malvertising no Facebook para distribuir malware tipo stealer tem sido uma tática testada e aprovada por atores de ameaças vietnamitas, que vêm capitalizando cada vez mais a popularidade de ferramentas de AI generativa para disseminar malware.
No início deste mês, a Morphisec revelou que um ator de ameaças vietnamita vem utilizando ferramentas falsas alimentadas por AI como isca para atrair usuários a fazerem o download de um malware stealer de informações denominado Noodlophile.
"Esta campanha, que se passava por Kling AI através de anúncios falsos e sites enganosos, demonstra como os atores de ameaças estão combinando engenharia social com malware avançado para acessar sistemas dos usuários e dados pessoais," disse a Check Point.
Com táticas que vão desde o mascaramento de arquivos ao acesso remoto e roubo de dados, e sinais apontando para grupos de ameaças vietnamitas, esta operação se encaixa em uma tendência mais ampla de ataques baseados em mídia social cada vez mais direcionados e sofisticados.
Este desenvolvimento ocorre enquanto o The Wall Street Journal relatou que a Meta está lutando contra uma "epidemia de golpes", com criminosos cibernéticos inundando o Facebook e Instagram com vários tipos de golpes, desde iscas românticas até anúncios de pechinchas suspeitas e sorteios falsos.
Muitas das páginas de golpe são operadas da China, Sri Lanka, Vietnã e Filipinas, acrescentou o relatório.
Segundo o Rest of World, anúncios de empregos falsos no Telegram, Facebook e outras mídias sociais estão sendo cada vez mais usados para atrair jovens indonésios e os traficar para compostos de golpes no Sudeste Asiático, de onde são coagidos a executar golpes de investimento e fraudar vítimas em todo o mundo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...