Anúncios falsos de ferramentas de vídeo de IA no Facebook e LinkedIn espalham ladrões de informações

A Mandiant Threat Defense descobre uma campanha em que o grupo UNC6032, sediado no Vietnã, engana usuários com anúncios maliciosos em mídias sociais para ferramentas de vídeo de IA falsas, levando ao roubo de credenciais e informações de cartão de crédito.

A Mandiant Threat Defense descobriu uma ampla operação de crimes cibernéticos que se aproveita do entusiasmo do público por novas ferramentas de IA . Um grupo conhecido como UNC6032, que se acredita estar sediado no Vietnã, está enganando as pessoas com anúncios falsos em redes sociais que parecem promover geradores de vídeo de IA populares, como Luma AI e Canva Dream Lab.

De acordo com a pesquisa da Mandiant, compartilhada com o Hackread.com, o UNC6032 vem veiculando anúncios enganosos em plataformas como Facebook e LinkedIn desde meados de 2024. Esses anúncios direcionam os usuários para sites falsos que parecem oferecer serviços de geração de vídeos por IA.

No entanto, esses sites baixam secretamente softwares nocivos, incluindo infostealers e backdoors , que roubam informações confidenciais, como detalhes de login e dados pessoais. Os dados roubados provavelmente são vendidos em mercados online ilegais.

Esse tipo de ataque é uma grande preocupação para todos, desde indivíduos até grandes empresas. De fato, de acordo com o relatório M-Trends 2025 da Mandiant, credenciais roubadas são a segunda principal forma de invasão de sistemas por criminosos cibernéticos. A Mandiant encontrou milhares desses anúncios, alcançando milhões de usuários, e acredita que campanhas semelhantes estejam ativas em outras redes sociais.

Por exemplo, um ataque específico investigado pela Mandiant começou com um anúncio no Facebook da Luma Dream AI Machine. Quando um usuário clicava em "Comece agora gratuitamente", era conduzido por uma série de etapas que imitavam um processo real de criação de vídeo com IA.

Após a barra de carregamento, um botão de download apareceu, instalando o software malicioso em vez de um vídeo. Os arquivos usavam um truque com caracteres ocultos e um ícone .mp4 falso para parecerem inofensivos, mas, na verdade, eram arquivos executáveis ​​perigosos.

O software malicioso usado nesses ataques, que a Mandiant rastreia como STARKVEIL, é um programa complexo escrito em Rust . Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrir o programa. O software então instala outras ferramentas perigosas, como XWORM , backdoors FROSTRIFT e o downloader GRIMPULL.

Essas ferramentas permitem que invasores controlem o computador, roubem mais informações, registrem as teclas digitadas e verifiquem a existência de softwares de segurança. O GRIMPULL, por exemplo, pode baixar e executar o navegador Tor para se conectar aos servidores ocultos dos criminosos. O XWORM até envia as informações roubadas aos invasores via Telegram.

De acordo com a publicação no blog da Mandiant Threat Defense, a empresa está colaborando com a Meta e o LinkedIn para combater essa campanha. Embora a Meta tenha removido muitos desses anúncios, novos anúncios aparecem diariamente. Essa ameaça contínua exige colaboração constante em toda a indústria de tecnologia para proteger os usuários.

Yash Gupta, gerente sênior da Mandiant Threat Defense, alerta que “sites bem elaborados que se passam por ferramentas legítimas de IA podem representar uma ameaça a qualquer um... Os usuários devem ter cuidado ao interagir com anúncios aparentemente inofensivos”.

É fato que as ferramentas de IA estão se tornando populares, e os cibercriminosos continuarão a explorar esse interesse. Recomenda-se que os usuários sejam cautelosos ao testar novas ferramentas de IA e verifiquem o endereço do site antes de interagir.