Lažni AI alat na Fejsbuku: umesto videa korisnici preuzimaju malver

Vesti, 22.05.2025, 11:00 AM

Sajber kriminalci su pokrenuli novu i veoma razrađenu kampanju distribucije malvera, oslanjajući se na popularnost veštačke inteligencije. U centru ovog napada nalazi se lažni AI alat za animaciju Kling AI, do koga korisnici dolaze putem lažnih oglasa na Facebook-u i lažnih veb sajtova koji vrlo uverljivo imitiraju originalnu platformu. Kada korisnici pokušaju da generišu sadržaj, umesto toga preuzimaju malver.

Kampanja, koja je počela početkom 2025. godine, koristi sponzorisane objave na lažnim Facebook stranicama kako bi preusmerila korisnike na sajtove koji izgledaju gotovo identično kao pravi Kling AI. Prema podacima kompanije Check Point Research (CPR), od juna 2024. godine Kling AI je privukao više od šest miliona korisnika, što ga čini atraktivnom metom za manipulaciju poverenjem korisnika.

Na lažnim sajtovima, korisnicima se nudi da pošalju tekstualni zahtev ili otpreme sliku kako bi generisali sadržaj. Lažni veb sajt generiše naziv fajla i sličicu sličnu sadržaju povezanog videa. Kada pokušaju da preuzmu generisani sadržaj, umesto očekivanog rezultata, žrtve preuzimaju ZIP arhivu sa fajlom koji naizgled ima ekstenziju .jpg ili .mp4, ali je zapravo izvršni fajl (.exe). Fajlovi poput „Generated_Image_2025.jpg…exe“ dodatno obmanjuju korisnike prikrivajući stvarnu prirodu fajla.

Kada se otvori, fajl pokreće program za učitavanje malvera koji je tako napravljen da reverzni inženjering čini izuzetno teškim i omogućava zaobilaženje tradicionalnih bezbednosnih alata.

Kada se instalira, loader proverava da li se pokreće u virtuelnom okruženju i da li su na uređaju prisutni alati za analizu. Ukoliko ih ne pronađe, uspostavlja perzistentnost kroz modifikacije registra, a zatim ubacuje novi kod u legitimne sistemske procese.

Konačna faza napada uključuje instalaciju PureHVNC RAT-a, trojanca za daljinski pristup. Ovaj trojanac omogućava napadačima potpunu kontrolu nad računarom žrtve, uključujući mogućnosti krađe podataka, špijuniranje korisnika i manipulaciju sistemom.

Posebna meta ovog RAT-a su digitalni novčanici i lozinke. On traži više od 50 različitih ekstenzija povezanih sa kriptovalutama, uključujući MetaMask, Phantom i Trust Wallet, i skenira brojne Chromium veb pregledače: Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, 360Browser i QQBrowser. Takođe malver je proširio svoj domet i na aplikacije poput Telegrama, Ledger Live i Electrum.

Istraživači navode da su do sada uočili oko 70 različitih sponzorisanih objava i više verzija kampanje, sa nazivima poput „Kling AI 25/03/2025“ ili „Kling AI Test Startup“, što ukazuje na kontinuirano testiranje i prilagođavanje taktika. Oni kažu da ima dokaza da je kampanja delo sajber kriminalaca iz Vijetnama.

Iako na prvi pogled šema može delovati jednostavno - klik na oglas vodi do sajta koji izgleda kao pravi Kling AI koji nudi generisanje sadržaja - u pozadini se odvija sofisticirani napad koji koristi napredne tehnike prikrivanja i zaobilaženja zaštite. Prate se aktivnosti korisnika, vrši se krađa podataka i ugrožava integritet uređaja.

Globalni obim napada je zabrinjavajući - žrtve su prijavljene u više regiona. Kampanja se brzo širi i menja, koristeći nove domene i nove tehnike socijalnog inženjeringa. Zbog toga stručnjaci za bezbednost savetuju izbegavanje sumnjivih preuzimanja, ažuriranje antivirusnog softvera, uključivanje višefaktorske autentifikacije (MFA) i posebnu opreznost prema oglasima i porukama koje promovišu AI alate putem društvenih mreža.