Golpistas usam anúncios falsos da Kling AI para espalhar malware
Uma série de golpes de malware foi detectada visando usuários de ferramentas de IA generativa , com invasores se passando pela popular plataforma de IA Kling para disseminar software malicioso. De acordo com uma análise detalhada da Check Point Research (CPR), a campanha utilizou anúncios falsos em redes sociais e sites clonados para induzir os usuários a baixar arquivos maliciosos.
Kling AI é uma ferramenta de geração de vídeos com tecnologia de IA desenvolvida pela Kuaishou, uma empresa de tecnologia chinesa, que transforma mensagens de texto ou imagens em vídeos. Lançada em junho de 2024, a plataforma conta com mais de seis milhões de usuários registrados. A popularidade e o uso mundial da Kling AI a tornam um alvo lucrativo para cibercriminosos.
O ataque começou com anúncios patrocinados no Facebook promovendo a Kling AI. Os anúncios eram vinculados a um site falso, projetado para imitar a interface real da Kling AI. Uma vez lá, os usuários eram solicitados a enviar uma imagem e clicar em "Gerar", uma interação familiar para quem já usou ferramentas generativas.
Em vez de receber mídia gerada por IA, os usuários recebiam um arquivo para download. Parecia inofensivo, com um nome como Generated_Image_2025.jpg , completo com um ícone de imagem padrão. Mas não era um arquivo de imagem. Era um executável disfarçado, criado para instalar malware silenciosamente no sistema do usuário.
Embora o nome, a família ou o tipo do malware permaneçam desconhecidos, a primeira etapa do ataque utilizou o que é conhecido como mascaramento de nome de arquivo . Ao dar a um arquivo malicioso a aparência de um formato de mídia comum, os invasores aumentaram a chance de os usuários abri-lo. Uma vez instalado, o malware permanecia no sistema e era executado sempre que o computador era ligado.
E não parou por aí. O verdadeiro dano aconteceu na segunda fase, quando um Trojan de acesso remoto (RAT) foi implantado nos sistemas comprometidos. Essa ferramenta conectou o sistema comprometido a uma central de comando externa. Isso permitiu que os invasores monitorassem a atividade, coletassem dados armazenados do navegador e até mesmo assumissem o controle total do sistema sem o conhecimento da vítima.
A Check Point relata que cada variante de RAT usada nesta campanha foi ligeiramente modificada, provavelmente para evitar a detecção por ferramentas antivírus. Algumas das amostras continham nomes internos como " Kling AI Test Startup " ou marcadores datados como "Kling AI 25/03/2025", sugerindo que o grupo por trás do ataque vem testando e ajustando ativamente seus métodos.
Embora a identidade dos invasores ainda esteja sendo investigada, o CPR encontrou indícios que ligam a operação a grupos baseados no Vietnã . Essas pistas incluem strings de depuração em vietnamita dentro do malware e semelhanças com campanhas anteriores que usaram o Facebook como canal de distribuição.
Grupos cibercriminosos da região foram associados a incidentes passados envolvendo anúncios falsos e malware para roubo de dados no Facebook . Esta operação se encaixa nesse padrão e marca mais um passo na adaptação das ameaças cibernéticas às tendências digitais atuais.
Ferramentas generativas de IA estão se tornando mais populares do que nunca, e os invasores estão encontrando maneiras de transformar essa popularidade em vantagem. Ao copiar a aparência de serviços confiáveis, eles fazem as pessoas presumirem que o site é legítimo, especialmente quando o site falso parece bem-acabado e real.
A Check Point aconselha os usuários a terem cuidado com anúncios patrocinados e sempre verificarem a fonte antes de baixar qualquer coisa.
HackRead
