Betrüger verbreiten Malware mithilfe gefälschter Kling-KI-Anzeigen

Eine Reihe von Malware-Betrugsmaschen zielte auf Nutzer generativer KI-Tools ab. Angreifer gaben sich als die beliebte Kling-KI-Plattform aus, um Schadsoftware zu verbreiten. Laut einer detaillierten Analyse von Check Point Research (CPR) nutzte die Kampagne gefälschte Social-Media-Anzeigen und geklonte Websites, um Nutzer zum Download schädlicher Dateien zu verleiten.

Kling AI ist ein KI-gestütztes Videogenerierungstool des chinesischen Technologieunternehmens Kuaishou, das Textansagen oder Bilder in Videos umwandelt. Die Plattform wurde im Juni 2024 eingeführt und hat mehr als sechs Millionen registrierte Nutzer. Die Popularität und weltweite Nutzung von Kling AI machen die Plattform zu einem lukrativen Ziel für Cyberkriminelle.

Der Angriff begann mit gesponserten Facebook-Anzeigen, die für Kling AI warben. Die Anzeigen führten zu einer gefälschten Website, die die echte Kling AI-Oberfläche nachahmte. Dort wurden die Nutzer aufgefordert, ein Bild hochzuladen und auf „Generieren“ zu klicken – eine vertraute Interaktion für alle, die bereits generative Tools verwendet haben.

Anstatt KI-generierter Medien erhielten die Nutzer eine herunterladbare Datei. Sie wirkte harmlos, trug einen Namen wie Generated_Image_2025.jpg “ und war mit einem Standardbildsymbol versehen. Doch es handelte sich nicht um eine Bilddatei. Es handelte sich um eine getarnte ausführbare Datei, die heimlich Schadsoftware auf dem System des Nutzers installierte.

Obwohl Name, Familie und Typ der Malware unbekannt sind, basierte die erste Phase des Angriffs auf sogenannter Dateinamen-Maskierung . Indem Angreifer einer schädlichen Datei das Aussehen eines gängigen Medienformats verliehen, erhöhten sie die Wahrscheinlichkeit, dass Benutzer sie öffneten. Nach der Installation verblieb die Malware auf dem System und wurde bei jedem Einschalten des Computers ausgeführt.

Doch damit nicht genug. Der eigentliche Schaden entstand in Phase zwei, als ein Remote Access Trojaner (RAT) auf den kompromittierten Systemen installiert wurde. Dieses Tool verband das kompromittierte System mit einer externen Kommandozentrale. So konnten Angreifer Aktivitäten überwachen, gespeicherte Browserdaten sammeln und sogar ohne Wissen des Opfers die vollständige Kontrolle über das System übernehmen.

Check Point berichtet , dass jede in dieser Kampagne verwendete RAT-Variante leicht modifiziert wurde, wahrscheinlich um die Erkennung durch Antiviren-Tools zu vermeiden. Einige der Samples trugen interne Namen wie „ Kling AI Test Startup “ oder Datumsangaben wie „Kling AI 25.03.2025“. Dies deutet darauf hin, dass die Gruppe hinter dem Angriff ihre Methoden aktiv getestet und angepasst hat.

Während die Identität der Angreifer noch untersucht wird, fand CPR Hinweise, die die Operation mit in Vietnam ansässigen Gruppen in Verbindung bringen. Zu diesen Hinweisen gehören vietnamesischsprachige Debug-Strings in der Malware und Ähnlichkeiten mit früheren Kampagnen, die Facebook als Verbreitungskanal nutzten.

Cyberkriminelle Gruppen aus der Region werden mit früheren Vorfällen in Verbindung gebracht, bei denen es um gefälschte Anzeigen und datenstehlende Schadsoftware auf Facebook ging. Diese Operation passt in dieses Muster und markiert einen weiteren Schritt in der Anpassung von Cyberbedrohungen an aktuelle digitale Trends.

KI-generierende Tools erfreuen sich immer größerer Beliebtheit, und Angreifer finden Wege, diese Popularität zu ihrem Vorteil zu nutzen. Indem sie das Erscheinungsbild vertrauenswürdiger Dienste kopieren, erwecken sie den Eindruck, die Seite sei seriös, insbesondere wenn die gefälschte Website professionell und echt aussieht.

Check Point rät Benutzern, bei gesponserten Anzeigen vorsichtig zu sein und vor dem Herunterladen immer die Quelle zu überprüfen.