Las páginas de Facebook falsificadas y los anuncios patrocinados en la plataforma de redes sociales se están empleando para dirigir a los usuarios a sitios web falsos disfrazados de Sonido ai con el objetivo de engañar a las víctimas para que descarguen malware.
Kling Ai es una plataforma de inteligencia artificial (IA) para sintetizar imágenes y videos a partir de indicaciones de texto e imágenes. Lanzado en junio de 2024, está desarrollado por Kuaishou Technology, con sede en Beijing, China. A partir de abril de 2025, el servicio tiene una base de usuarios de más de 22 millones, por datos de la empresa.
«El ataque utilizó páginas y anuncios falsos de Facebook para distribuir un archivo malicioso que finalmente condujo a la ejecución de un troyano de acceso remoto (rata), otorgando al control remoto del sistema de la víctima y la capacidad de robar datos confidenciales», «Punto de control» dicho.
Detectado por primera vez a principios de 2025, la campaña lleva a los usuarios desprevenidos a un sitio web falsificado como Klingaimedia[.]com o blade studio[.]com, donde se les pide que creen imágenes o videos generados por IA directamente en el navegador.
Sin embargo, el sitio web no genera el recuento multimedia como se anuncia. Más bien, ofrece la opción a una supuesta imagen o video que, en realidad, es un ejecutable malicioso de Windows oculto con extensiones dobles y Relleno de hangul (0xe3 0x85 0xa4) caracteres.
La carga útil se incluye en un archivo ZIP y actúa como un cargador para lanzar un troyano de acceso remoto y un robador que luego establece contacto con un servidor de comando y control (C2) y exfiltrata credenciales almacenadas en el navegador, tokens de sesión y otros datos confidenciales.
El cargador, además del monitoreo de herramientas de análisis como Wireshark, Ollydbg, Procmon, PROCEXP, Pestudio y Fiddler, realiza cambios en el registro de Windows para configurar la persistencia y lanza la segunda etapa al inyectarlo en un proceso de sistema legítimo como «Caspol.exe» o «InstalliL.exe» para evadir la detección.
La carga útil de la segunda etapa, ofuscada usando Reactor .netes la rata PureHVNC que contacta a un servidor remoto (185.149.232[.]197) y viene con capacidades para robar datos de varias extensiones de billetera de criptomonedas instaladas en navegadores basados en cromo. PureHVNC también adopta un enfoque basado en complementos para capturar capturas de pantalla cuando se abren títulos de ventanas que coinciden con los bancos y las billeteras.
Check Point dijo que identificó no menos de 70 publicaciones promovidas de páginas de redes sociales falsas que se hace pasar por Kling Ai. Actualmente no está claro quién está detrás de la campaña, pero la evidencia se reunió de la página web del sitio web falso y algunos de los anuncios muestran que podrían ser de Vietnam.
El uso de técnicas de malvertimiento de malvado de Facebook para distribuir malware de robador ha sido una táctica probada de actores de amenaza vietnamita, que han sido cada vez más capitalización sobre la popularidad de Herramientas de IA generativas para empujar malware.
A principios de este mes, Morphisec reveló que un actor de amenaza vietnamita ha estado aprovechando las herramientas falsas de IA como un atractivo para atraer a los usuarios a descargar un malware de robador de información denominado Noodlophile.
«Esta campaña, que se hizo pasar por la IA de Kling a través de anuncios falsos y sitios web engañosos, demuestra cómo los actores de amenaza están combinando ingeniería social con malware avanzado para obtener acceso a los sistemas de usuarios y datos personales», «Punto de control dicho.
«Con tácticas que van desde archivos disfrazados hasta acceso remoto y robo de datos, y las señales que señalan a los grupos de amenazas vietnamitas, esta operación encaja en una tendencia más amplia de ataques basados en redes sociales cada vez más específicos y sofisticados».
El desarrollo se produce como el Wall Street Journal reportado Ese Meta está luchando contra una «epidemia de estafas», con ciberdelincuentes que inundan Facebook e Instagram con varios tipos de estafas que van desde el cebo romántico hasta los anuncios de ganga incompletos hasta regalos falsos. Muchas de las páginas de estafas se operan desde China, Sri Lanka, Vietnam y Filipinas, agregó el informe.
De acuerdo a Resto del mundofalsos anuncios de trabajo en TelegramaFacebook y otras redes sociales se utilizan cada vez más para atraer a los jóvenes indonesios y obtener traficado a compuestos de estafa En el sudeste asiático, desde donde se ven obligados a ejecutar estafas de inversión y defraudar a las víctimas en todo el mundo.
