Kada korisnici pokušaju da generišu sadržaj, umjesto toga preuzimaju malver.
Kampanja, koja je počela početkom 2025. godine, koristi sponzorisane objave na lažnim Facebook stranicama kako bi preusmjerila korisnike na sajtove koji izgledaju gotovo identično kao pravi Kling AI. Prema podacima kompanije Check Point Research (CPR), od juna 2024. godine Kling AI je privukao više od šest miliona korisnika, što ga čini atraktivnom metom za manipulaciju poverenjem korisnika.
Na lažnim sajtovima, korisnicima se nudi da pošalju tekstualni zahtjev ili otpreme sliku kako bi generisali sadržaj. Lažni veb sajt generiše naziv fajla i sličicu sličnu sadržaju povezanog videa. Kada pokušaju da preuzmu generisani sadržaj, umjesto očekivanog rezultata, žrtve preuzimaju ZIP arhivu sa fajlom koji naizgled ima ekstenziju .jpg ili .mp4, ali je zapravo izvršni fajl (.exe). Fajlovi poput „Generated_Image_2025.jpg…exe“ dodatno obmanjuju korisnike prikrivajući stvarnu prirodu fajla.
Kada se otvori, fajl pokreće program za učitavanje malvera koji je tako napravljen da reverzni inženjering čini izuzetno teškim i omogućava zaobilaženje tradicionalnih bezbjednosnih alata.
Kada se instalira, loader provjerava da li se pokreće u virtuelnom okruženju i da li su na uređaju prisutni alati za analizu. Ukoliko ih ne pronađe, uspostavlja perzistentnost kroz modifikacije registra, a zatim ubacuje novi kod u legitimne sistemske procese.
Konačna faza napada uključuje instalaciju PureHVNC RAT-a, trojanca za daljinski pristup. Ovaj trojanac omogućava napadačima potpunu kontrolu nad računarom žrtve, uključujući mogućnosti krađe podataka, špijuniranje korisnika i manipulaciju sistemom.
Posebna meta ovog RAT-a su digitalni novčanici i lozinke. On traži više od 50 različitih ekstenzija povezanih sa kriptovalutama, uključujući MetaMask, Phantom i Trust Wallet, i skenira brojne Chromium veb pregledače: Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, 360Browser i QQBrowser. Takođe malver je proširio svoj domet i na aplikacije poput Telegrama, Ledger Live i Electrum.
Istraživači navode da su do sada uočili oko 70 različitih sponzorisanih objava i više verzija kampanje, sa nazivima poput „Kling AI 25/03/2025“ ili „Kling AI Test Startup“, što ukazuje na kontinuirano testiranje i prilagođavanje taktika. Oni kažu da ima dokaza da je kampanja djelo sajber kriminalaca iz Vijetnama.
Iako na prvi pogled šema može djelovati jednostavno – klik na oglas vodi do sajta koji izgleda kao pravi Kling AI koji nudi generisanje sadržaja – u pozadini se odvija sofisticirani napad koji koristi napredne tehnike prikrivanja i zaobilaženja zaštite. Prate se aktivnosti korisnika, vrši se krađa podataka i ugrožava integritet uređaja.
Globalni obim napada je zabrinjavajući – žrtve su prijavljene u više regiona. Kampanja se brzo širi i mijenja, koristeći nove domene i nove tehnike socijalnog inženjeringa. Zbog toga stručnjaci za bezbjednost savjetuju izbjegavanje sumnjivih preuzimanja, ažuriranje antivirusnog softvera, uključivanje višefaktorske autentifikacije (MFA) i posebnu opreznost prema oglasima i porukama koje promovišu AI alate putem društvenih mreža, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu