I truffatori usano falsi annunci di Kling AI per diffondere malware

È stata individuata una serie di truffe malware mirate agli utenti di strumenti di intelligenza artificiale generativa , con gli aggressori che si spacciavano per la popolare piattaforma di intelligenza artificiale Kling per diffondere software dannoso. Secondo un'analisi dettagliata di Check Point Research (CPR), la campagna utilizzava falsi annunci sui social media e siti web clonati per indurre gli utenti a scaricare file dannosi.

Kling AI è uno strumento di generazione video basato sull'intelligenza artificiale sviluppato da Kuaishou, un'azienda tecnologica cinese, che trasforma messaggi di testo o immagini in video. Lanciata nel giugno 2024, la piattaforma conta oltre sei milioni di utenti registrati. La popolarità e l'utilizzo globale di Kling AI la rendono un bersaglio redditizio per i criminali informatici.

L'attacco è iniziato con annunci sponsorizzati su Facebook che promuovevano Kling AI. Gli annunci erano collegati a un sito falso progettato per imitare la vera interfaccia di Kling AI. Una volta lì, agli utenti veniva chiesto di caricare un'immagine e cliccare su "Genera", un'interazione familiare a chiunque abbia utilizzato strumenti generativi.

Invece di ricevere contenuti multimediali generati dall'intelligenza artificiale, agli utenti veniva consegnato un file scaricabile. Appariva innocuo, con un nome simile Generated_Image_2025.jpg , completo di un'icona immagine standard. Ma non si trattava di un file immagine. Era un eseguibile camuffato, progettato per installare silenziosamente malware sul sistema dell'utente.

Sebbene il nome, la famiglia o il tipo del malware rimangano sconosciuti, la prima fase dell'attacco si è basata sul cosiddetto mascheramento del nome del file . Dando a un file dannoso l'aspetto di un formato multimediale comune, gli aggressori aumentavano le probabilità che gli utenti lo aprissero. Una volta installato, il malware rimaneva nel sistema e si eseguiva ogni volta che il computer veniva acceso.

Ma non si è fermata lì. Il vero danno si è verificato nella seconda fase, quando un Trojan di accesso remoto (RAT) è stato installato sui sistemi compromessi. Questo strumento ha collegato il sistema compromesso a un centro di comando esterno. Ciò ha permesso agli aggressori di monitorare l'attività, raccogliere dati memorizzati dal browser e persino assumere il pieno controllo del sistema all'insaputa della vittima.

Check Point segnala che ogni variante di RAT utilizzata in questa campagna è stata leggermente modificata, probabilmente per evitare il rilevamento da parte degli antivirus. Alcuni campioni riportavano nomi interni come " Kling AI Test Startup " o indicatori di data come "Kling AI 25/03/2025", suggerendo che il gruppo responsabile dell'attacco stava testando e modificando attivamente i propri metodi.

Mentre l'identità degli aggressori è ancora oggetto di indagine, il CPR ha trovato indizi che collegano l'operazione a gruppi con base in Vietnam . Questi indizi includono stringhe di debug in lingua vietnamita all'interno del malware e somiglianze con precedenti campagne che utilizzavano Facebook come canale di distribuzione.

I gruppi di criminali informatici della regione sono stati collegati a precedenti incidenti che hanno coinvolto annunci pubblicitari falsi e malware per il furto di dati su Facebook . Questa operazione si inserisce in questo schema e segna un ulteriore passo avanti nell'adattamento delle minacce informatiche alle attuali tendenze digitali.

Gli strumenti di intelligenza artificiale generativa stanno diventando più popolari che mai e gli aggressori stanno trovando il modo di trasformare questa popolarità in un vantaggio. Copiando l'aspetto grafico di servizi affidabili, inducono gli utenti a credere che siano legittimi, soprattutto quando il sito falso sembra curato e autentico.

Check Point consiglia agli utenti di prestare attenzione agli annunci sponsorizzati e di verificarne sempre la fonte prima di scaricare qualsiasi cosa.