Злоумышленники выдают себя за сервис Kling AI (инструмент для создания видео с помощью ИИ), заманивают жертв на фишинговые сайты с помощью фальшивой рекламы и заражают устройства вредоносным ПО. Они получают полный доступ к устройству пользователя, его активности и данным браузера. Предположительно, за атакой стоит вьетнамская кибергруппировка.
Согласно детальному анализу Check Point Research (CPR), злоумышленники, которые стоят за этой мошеннической кампанией, прибегают к технологии malvertising, размещая фальшивые рекламные объявления в социальных сетях и клонируя сайты, куда заманивает жертв и обманом заставляет загружать на устройства вредонос.
Справка. Kling AI — это китайский инструмент для создания видео и изображений с помощью искусственного интеллекта, который преобразует текстовые промпты или изображения в видео. Платформой пользуются более шести миллионов пользователей. Такая большая аудитория и привлекла внимание мошенников.
Этап 1 — Фальшивая реклама и поддельные странички
На первом этапе злоумышленники размещают фальшивые рекламные объявления и странички в соцсетях, брендируя их под Kling AI. Ссылка с объявления или из поста ведет на мошеннический сайт, который полностью копирует официальный сайт инструмента.
Чтобы сгенерировать видео или изображение, пользователя просят загрузить изображение или прописать промпт и нажать на кнопку «Сгенерировать». В общем, ничего необычного.
Однако вместо готового медиафайла пользователей просят скачать на первый взгляд безобидный файл, например картинку Generated_Image_2025.jpg, сопровождаемый стандартной иконкой изображения. Однако на самом деле это исполняемый exe-файл, который автоматически загружается на устройство жертвы в фоновом режиме.
Таким образом злоумышленники используют маскировку истинного файла, чтобы пользователи не догадывались о реальном содержимом и скачивали его.
Этап 2 — Распаковка вредоноса и тотальная слежка
После загрузки вредоносного файла и распаковки архива на устройство жертвы устанавливается троянская программа (RAT) с возможностью удаленного доступа. После установки вредоносная программа оставалась в системе и запускалась при каждом включении компьютера.
Вредонос позволяет злоумышленникам отслеживать активность пользователя, собирать сохраненные данные в его браузере и получать полный контроль над устройством жертвы. Также специалисты обнаружили, что программа может делать скриншоты экрана при посещении пользователем банковский сайтов и приложений.
Эксперты заметили, что мошенники модифицируют версии вредоноса, предположительно для того, чтобы избегать обнаружения антивирусным ПО.
Название, семейство или тип вредоносной программы на текущий момент остаются неизвестными. Эксперты предполагают, что за атакой стоит кибергруппировка, базирующаяся во Вьетнаме, поскольку в собранных образцах вредоноса были обнаружены строки отладки на вьетнамском языке.
Будьте осторожны в сети и внимательно относитесь к рекламным объявлениям. Обращайте внимание на ссылку, которая ведет с рекламы, и не загружайте файлы с неизвестных сайтов.
Ранее мы рассказывали о мошеннической схеме, при которой злоумышленники также прибегали к технологии malvertising и распространяли вредоносное ПО Gootloader через Google Ads.
Доступ посторонних лиц к вашему браузеру — отслеживанию веб-трафика, вкладкам, cookie и истории поиска — может привести к краже этих данных и использованию в атаках на рекламу и бот-накрутке. Например, недавно в Chrome были обнаружены 35 потенциально опасных расширений с доступом к этим данным.
