Gefälschte KI-Video-Tool-Anzeigen auf Facebook und LinkedIn verbreiten Infostealer

Mandiant Threat Defense deckt eine Kampagne auf, bei der die in Vietnam ansässige Gruppe UNC6032 Benutzer mit bösartigen Social-Media-Anzeigen für gefälschte KI-Videotools täuscht, was zum Diebstahl von Anmeldeinformationen und Kreditkarteninformationen führt.

Mandiant Threat Defense hat eine weitverbreitete Cybercrime-Operation aufgedeckt, die die Begeisterung der Öffentlichkeit für neue KI-Tools ausnutzt. Eine Gruppe namens UNC6032, vermutlich mit Sitz in Vietnam, täuscht Nutzer mit gefälschten Social-Media-Anzeigen, die vorgeben, für beliebte KI-Videogeneratoren wie Luma AI und Canva Dream Lab zu werben.

Laut Mandiant-Recherchen, die Hackread.com zur Verfügung gestellt wurden, schaltet UNC6032 seit Mitte 2024 irreführende Anzeigen auf Plattformen wie Facebook und LinkedIn. Diese Anzeigen leiten Nutzer auf gefälschte Websites weiter, die scheinbar Dienste zur KI-Videogenerierung anbieten.

Allerdings laden diese Websites heimlich schädliche Software herunter, darunter Infostealer und Backdoors , die vertrauliche Informationen wie Anmeldedaten und persönliche Daten stehlen. Die gestohlenen Daten werden wahrscheinlich auf illegalen Online-Märkten verkauft.

Diese Art von Angriffen ist für alle ein großes Problem, vom Privatanwender bis zum Großunternehmen. Laut Mandiants M-Trends 2025-Bericht sind gestohlene Anmeldedaten der zweithäufigste erste Weg für Cyberkriminelle, in Systeme einzudringen. Mandiant hat Tausende solcher Anzeigen entdeckt, die Millionen von Nutzern erreichen, und geht davon aus, dass ähnliche Kampagnen auch auf anderen Social-Media-Plattformen aktiv sind.

Ein konkreter Angriff, den Mandiant untersuchte, begann beispielsweise mit einer Facebook-Werbung für die Luma Dream AI Machine. Klickte ein Nutzer auf „Jetzt kostenlos starten“, wurde er durch eine Reihe von Schritten geführt, die einen echten KI-Videoerstellungsprozess nachahmten.

Nach einem Ladebalken erschien ein Download-Button, der anstelle eines Videos die Schadsoftware installierte. Die Dateien nutzten einen Trick mit versteckten Zeichen und einem gefälschten MP4-Symbol, um harmlos zu wirken, waren aber in Wirklichkeit gefährliche ausführbare Dateien.

Die bei diesen Angriffen verwendete Schadsoftware, die Mandiant als STARKVEIL verfolgt, ist ein komplexes Programm, das in Rust geschrieben ist. Es kann gefälschte Fehlermeldungen anzeigen, um Benutzer zum erneuten Öffnen des Programms zu verleiten. Die Software legt dann weitere gefährliche Tools wie XWORM , FROSTRIFT-Backdoors und den GRIMPULL-Downloader ab.

Mit diesen Tools können Angreifer den Computer kontrollieren, weitere Informationen stehlen, Tastatureingaben aufzeichnen und Sicherheitssoftware überprüfen. GRIMPULL beispielsweise kann den Tor-Browser herunterladen und ausführen, um sich mit den versteckten Servern der Kriminellen zu verbinden. XWORM sendet die gestohlenen Informationen sogar per Telegramm an die Angreifer.

Laut einem Blogbeitrag von Mandiant Threat Defense arbeitet das Unternehmen mit Meta und LinkedIn zusammen, um diese Kampagne zu bekämpfen. Obwohl Meta viele dieser Anzeigen entfernt hat, erscheinen täglich neue. Diese anhaltende Bedrohung erfordert eine kontinuierliche Zusammenarbeit der gesamten Technologiebranche zum Schutz der Nutzer.

Yash Gupta, Senior Manager bei Mandiant Threat Defense, warnt: „Gut gestaltete Websites, die sich als legitime KI-Tools ausgeben, können für jeden eine Bedrohung darstellen … Benutzer sollten bei der Interaktion mit scheinbar harmlosen Anzeigen vorsichtig sein.“

KI-Tools erfreuen sich zunehmender Beliebtheit, und Cyberkriminelle werden dieses Interesse weiterhin ausnutzen. Nutzern wird geraten, beim Ausprobieren neuer KI-Tools vorsichtig zu sein und die Website-Adresse vor der Interaktion zu überprüfen.