Поддельные рекламные ролики с использованием искусственного интеллекта на Facebook и LinkedIn, распространяемые похитителями информации

Mandiant Threat Defense раскрывает кампанию, в рамках которой вьетнамская группировка UNC6032 обманывает пользователей с помощью вредоносной рекламы в социальных сетях, предлагая им поддельные видеоинструменты на основе искусственного интеллекта, что приводит к краже учетных данных и информации о кредитных картах.

Mandiant Threat Defense раскрыла масштабную киберпреступную операцию, наживающуюся на ажиотаже общественности по поводу новых инструментов ИИ . Группа, известная как UNC6032, предположительно базирующаяся во Вьетнаме, обманывает людей с помощью поддельной рекламы в социальных сетях, которая выглядит так, будто они продвигают популярные видеогенераторы на основе ИИ, такие как Luma AI и Canva Dream Lab.

Согласно исследованию Mandiant, с которым поделился Hackread.com, UNC6032 размещает вводящую в заблуждение рекламу на таких платформах, как Facebook и LinkedIn, с середины 2024 года. Эта реклама перенаправляет пользователей на поддельные веб-сайты, которые, по-видимому, предлагают услуги по генерации видео с помощью ИИ.

Однако эти сайты тайно загружают вредоносное программное обеспечение, включая инфокрады и бэкдоры , которые крадут конфиденциальную информацию, такую ​​как данные для входа и персональные данные. Украденные данные, вероятно, продаются на нелегальных онлайн-рынках.

Этот тип атак является серьезной проблемой для всех, от частных лиц до крупных компаний. Фактически, согласно отчету Mandiant M-Trends 2025 , украденные учетные данные являются вторым по значимости первоначальным способом проникновения киберпреступников в системы. Mandiant обнаружила тысячи таких объявлений, охватывающих миллионы пользователей, и считает, что аналогичные кампании активны и на других сайтах социальных сетей.

Например, одна конкретная атака, которую расследовала Mandiant, началась с рекламы Luma Dream AI Machine на Facebook. Когда пользователь нажимал «Начать бесплатно сейчас», его проводили через ряд шагов, имитирующих реальный процесс создания видео с помощью ИИ.

После полосы загрузки появилась кнопка «Загрузить», которая затем установила вредоносное ПО вместо видео. Файлы использовали трюк со скрытыми символами и поддельным значком .mp4, чтобы казаться безвредными, но на самом деле это были опасные исполняемые файлы.

Вредоносное программное обеспечение, используемое в этих атаках, которое Mandiant отслеживает как STARKVEIL, представляет собой сложную программу, написанную на Rust . Оно может отображать поддельные сообщения об ошибках, чтобы обманом заставить пользователей повторно открыть программу. Затем программное обеспечение сбрасывает другие опасные инструменты, такие как XWORM , бэкдоры FROSTRIFT и загрузчик GRIMPULL.

Эти инструменты позволяют злоумышленникам контролировать компьютер, красть больше информации, записывать нажатия клавиш и проверять наличие программного обеспечения безопасности. Например, GRIMPULL может загрузить и запустить браузер Tor для подключения к скрытым серверам преступников. XWORM даже отправляет украденную информацию злоумышленникам через Telegram.

Согласно сообщению в блоге Mandiant Threat Defense, компания сотрудничает с Meta и LinkedIn для борьбы с этой кампанией. Хотя Meta удалила многие из этих объявлений, новые появляются ежедневно. Эта постоянная угроза требует постоянного сотрудничества в технологической отрасли для защиты пользователей.

Яш Гупта, старший менеджер Mandiant Threat Defense, предупреждает, что «хорошо созданные веб-сайты, маскирующиеся под легитимные инструменты ИИ, могут представлять угрозу для кого угодно... Пользователи должны проявлять осторожность при взаимодействии с, казалось бы, безобидной рекламой».

Фактом является то, что инструменты ИИ становятся популярными, и киберпреступники будут продолжать эксплуатировать этот интерес. Пользователям рекомендуется быть осторожными при испытании новых инструментов ИИ и проверять адрес веб-сайта перед взаимодействием.