Des escrocs utilisent de fausses publicités Kling AI pour diffuser des logiciels malveillants

Une série d'arnaques par malware a été détectée ciblant les utilisateurs d' outils d'IA générative . Les attaquants se sont fait passer pour la célèbre plateforme d'IA Kling afin de diffuser des logiciels malveillants. Selon une analyse détaillée de Check Point Research (CPR), la campagne utilisait de fausses publicités sur les réseaux sociaux et des sites web clonés pour inciter les utilisateurs à télécharger des fichiers malveillants.

Kling AI est un outil de génération vidéo basé sur l'IA, développé par Kuaishou, une entreprise technologique chinoise, qui transforme des messages texte ou des images en vidéos. Lancée en juin 2024, la plateforme compte plus de six millions d'utilisateurs enregistrés. Sa popularité et son utilisation mondiale en font une cible lucrative pour les cybercriminels.

L'attaque a débuté par des publicités Facebook sponsorisées faisant la promotion de Kling AI. Ces publicités étaient liées à un faux site conçu pour imiter la véritable interface de Kling AI. Une fois sur place, les utilisateurs étaient invités à télécharger une image et à cliquer sur « Générer », une interaction familière à toute personne ayant utilisé des outils génératifs.

Au lieu de recevoir des médias générés par l'IA, les utilisateurs recevaient un fichier téléchargeable. Apparemment inoffensif, il portait un nom du genre Generated_Image_2025.jpg , accompagné d'une icône d'image standard. Mais ce n'était pas un fichier image. Il s'agissait d'un exécutable déguisé, conçu pour installer discrètement un logiciel malveillant sur le système de l'utilisateur.

Bien que le nom, la famille et le type du malware restent inconnus, la première étape de l'attaque reposait sur ce que l'on appelle le masquage de nom de fichier . En donnant à un fichier malveillant l'apparence d'un format multimédia courant, les attaquants augmentaient les chances que les utilisateurs l'ouvrent. Une fois installé, le malware restait sur le système et s'exécutait à chaque démarrage de l'ordinateur.

Mais les choses ne se sont pas arrêtées là. Les véritables dégâts ont eu lieu lors de la deuxième étape, lorsqu'un cheval de Troie d'accès à distance (RAT) a été déployé sur les systèmes compromis. Cet outil a relié le système compromis à un centre de commande externe. Les attaquants ont ainsi pu surveiller l'activité, collecter les données de navigation stockées et même prendre le contrôle total du système à l'insu de la victime.

Check Point rapporte que chaque variante de RAT utilisée dans cette campagne a été légèrement modifiée, probablement pour éviter d'être détectée par les antivirus. Certains échantillons portaient des noms internes comme « Kling AI Test Startup » ou des marqueurs datés comme « Kling AI 25/03/2025 », suggérant que le groupe à l'origine de l'attaque teste et ajuste activement ses méthodes.

Alors que l'identité des attaquants est toujours en cours d'enquête, le CPR a découvert des indices reliant l'opération à des groupes basés au Vietnam . Ces indices incluent des chaînes de débogage en vietnamien au sein du logiciel malveillant et des similitudes avec des campagnes précédentes utilisant Facebook comme canal de diffusion.

Des groupes cybercriminels de la région ont été impliqués dans des incidents antérieurs impliquant de fausses publicités et des logiciels malveillants de vol de données sur Facebook . Cette opération s'inscrit dans cette tendance et marque une nouvelle étape dans l'adaptation des cybermenaces aux tendances numériques actuelles.

Les outils génératifs d'IA sont plus populaires que jamais et les pirates informatiques trouvent des moyens d'exploiter cette popularité. En copiant l'apparence de services de confiance, ils incitent les utilisateurs à croire qu'ils sont légitimes, surtout lorsque le faux site semble soigné et authentique.

Check Point conseille aux utilisateurs d'être prudents avec les publicités sponsorisées et de toujours vérifier la source avant de télécharger quoi que ce soit.