ソーシャルメディアプラットフォーム上の偽のFacebookページとスポンサー広告が、ユーザーを偽のウェブサイトに誘導し、被害者にマルウェアをダウンロードさせることを目的として、Kling AIを装っています。
Kling AIは、テキストや画像のプロンプトから画像や動画を合成する人工知能(AI)を活用したプラットフォームです。2024年6月に開始され、中国北京市に本社を置くKuaishou Technologyによって開発されました。2025年4月時点で、同サービスは2200万人以上のユーザーベースを持っています(会社のデータによる)。
「攻撃は偽のFacebookページと広告を使用して悪意のあるファイルを配布し、最終的にリモートアクセス型トロイの木馬(RAT)の実行を引き起こし、攻撃者に被害者のシステムのリモートコントロールと機密データの盗難を可能にしました」とCheck Pointは述べました。
2025年初頭に初めて検出されたこのキャンペーンは、klingaimedia[.]comやklingaistudio[.]comのような偽装されたウェブサイトに無防備なユーザーを誘導し、ブラウザ内でAI生成の画像や動画を作成するよう求めます。
しかし、ウェブサイトは広告されたようなマルチメディアコンテンツを生成しません。むしろ、実際には二重拡張子とハングルフィラー(0xE3 0x85 0xA4)文字を使用して隠された悪意のあるWindows実行ファイルを提供します。
ペイロードはZIPアーカイブに含まれており、リモートアクセス型トロイの木馬とスティーラーを起動するローダーとして機能し、その後、コマンド・アンド・コントロール(C2)サーバーと接触し、ブラウザに保存された認証情報、セッショントークン、その他の機密データを外部に送信します。
ローダーは、Wireshark、OllyDbg、Procmon、ProcExp、PeStudio、Fiddlerなどの分析ツールを監視するほか、Windowsレジストリの変更を行い、持続性を設定し、「CasPol.exe」や「InstallUtil.exe」のような正当なシステムプロセスに注入して第2段階を起動し、検出を回避します。
第2段階のペイロードは、.NET Reactorを使用して難読化されたPureHVNC RATで、リモートサーバー(185.149.232[.]197)と接触し、Chromiumベースのブラウザにインストールされたいくつかの暗号通貨ウォレット拡張機能からデータを盗む機能を備えています。PureHVNCはまた、銀行やウォレットに一致するウィンドウタイトルが開かれたときにスクリーンショットをキャプチャするためのプラグインベースのアプローチを採用しています。
Check Pointは、Kling AIを装った偽のソーシャルメディアページからのプロモート投稿を70件以上特定したと述べました。現在、このキャンペーンの背後にいるのが誰なのかは明らかではありませんが、偽のウェブサイトのウェブページといくつかの広告から得られた証拠は、それらがベトナムからのものである可能性を示しています。
Facebookのマルバタイジング技術を使用してスティーラーマルウェアを配布することは、ベトナムの脅威アクターによって試行済みの戦術であり、ますます、活用されており、生成AIツールの人気を利用してマルウェアを拡散しています。
今月初め、Morphisecは、ベトナムの脅威アクターが偽のAI駆動ツールを利用してユーザーを情報スティーラーマルウェア「Noodlophile」のダウンロードに誘導していることを明らかにしました。
「このキャンペーンは、偽の広告と欺瞞的なウェブサイトを通じてKling AIを装い、脅威アクターがソーシャルエンジニアリングと高度なマルウェアを組み合わせてユーザーのシステムと個人データにアクセスする方法を示しています」とCheck Pointは述べました。
「ファイルの偽装からリモートアクセスやデータ盗難に至るまでの戦術と、ベトナムの脅威グループを示す兆候により、この作戦はますますターゲットを絞った高度なソーシャルメディアベースの攻撃の広範なトレンドに適合しています。」
この展開は、The Wall Street Journalが報じたように、Metaが「詐欺の流行」と戦っている中で起こりました。サイバー犯罪者がFacebookやInstagramに、ロマンス詐欺から怪しいバーゲン広告、偽のプレゼントまで、さまざまな詐欺を氾濫させています。報告によれば、多くの詐欺ページは中国、スリランカ、ベトナム、フィリピンから運営されています。
Rest of Worldによれば、Telegram、Facebook、その他のソーシャルメディア上の偽の求人広告が、若いインドネシア人を誘い込み、人身売買され、東南アジアの詐欺コンパウンドに送り込まれ、そこから投資詐欺を実行し、世界中の被害者を騙すよう強制されていると報じています。
翻訳元: https://thehackernews.com/2025/05/fake-kling-ai-facebook-ads-deliver-rat.html