Las páginas falsificadas de Facebook y los anuncios patrocinados en la plataforma de redes sociales se están empleando para dirigir a los usuarios a falsificar sitios web disfrazados de Kling Ai con el objetivo de engañar a las víctimas para que descarguen malware.
Kling Ai es una plataforma de inteligencia sintético (IA) para sintetizar imágenes y videos a partir de indicaciones de texto e imágenes. Animado en junio de 2024, está desarrollado por Kuaishou Technology, con sede en Beijing, China. A partir de abril de 2025, el servicio tiene una almohadilla de usuarios de más de 22 millones, por datos de la empresa.
“El ataque utilizó páginas y anuncios falsos de Facebook para distribuir un archivo solapado que finalmente condujo a la ejecución de un troyano de llegada remoto (RAT), otorgando a los atacantes el control remoto del sistema de la víctima y la capacidad de robar datos confidenciales”, dijo Check Point.
Detectado por primera vez a principios de 2025, la campaña lleva a los usuarios desprevenidos a un sitio web falsificado como Klingaimedia (.) Com o Klingaistudio (.) Com, donde se les pide que creen imágenes o videos generados por IA directamente en el navegador.
Sin requisa, el sitio web no genera el recuento multimedia como se anuncia. Más acertadamente, ofrece la opción de una supuesta imagen o video que, en existencia, es un ejecutable solapado de Windows oculto con extensiones dobles y caracteres Hangul Filler (0xe3 0x85 0xa4).
La carga útil se incluye en un archivo ZIP y actúa como un cargador para propalar un troyano de llegada remoto y un robador que luego establece contacto con un servidor de comando y control (C2) y exfiltrata credenciales almacenadas en el navegador, tokens de sesión y otros datos confidenciales.
El cargador, adicionalmente del monitoreo de herramientas de estudio como Wireshark, Ollydbg, Procmon, PROCEXP, Pestudio y Fiddler, realiza cambios en el registro de Windows para configurar la persistencia y vara la segunda etapa al inyectarlo en un proceso de sistema genuino como “Caspol.exe” o “InstalliL.exe” para esquivar la detección.
La carga útil de la segunda etapa, ofuscada con el reactor .NET, es la rata PureHVNC que contacta a un servidor remoto (185.149.232 (.) 197) y viene con capacidades para robar datos de varias extensiones de billeteras de criptomonedas instaladas en navegadores basados en cromios. PureHVNC todavía adopta un enfoque basado en complementos para capturar capturas de pantalla cuando se abren títulos de ventanas que coinciden con los bancos y las billeteras.
Check Point dijo que identificó no menos de 70 publicaciones promovidas de páginas de redes sociales falsas que se hace ocurrir por Kling Ai. Actualmente no está claro quién está detrás de la campaña, pero la evidencia se reunió de la página web del sitio web adulterado y algunos de los anuncios muestran que podrían ser de Vietnam.
El uso de técnicas de malvertimiento de maldad de Facebook para distribuir malware de robador ha sido una táctica probada de actores de amenaza vietnamitas, que han estado capitalizando cada vez más la popularidad de las herramientas generativas de IA para impulsar el malware.
A principios de este mes, Morphisec reveló que un actor de amenaza vietnamita ha estado aprovechando las herramientas falsas de IA como señuelo para atraer a los usuarios a descargar un malware de robo de información denominado Noodlophile.
“Esta campaña, que se hizo ocurrir por la IA de Kling a través de anuncios falsos y sitios web engañosos, demuestra cómo los actores de amenaza están combinando ingeniería social con malware reformista para obtener llegada a los sistemas de usuarios y datos personales”, dijo Check Point.
“Con tácticas que van desde archivos disfrazados hasta llegada remoto y robo de datos, y las señales que señalan a los grupos de amenazas vietnamitas, esta operación encaja en una tendencia más amplia de ataques basados en redes sociales cada vez más específicos y sofisticados”.
El mejora se produce cuando el Wall Street Journal informó que Meta está luchando contra una “flujo de estafas”, con ciberdelincuentes que inundan Facebook e Instagram con varios tipos de estafas que van desde el cebo romántico hasta los anuncios de ganga incompletas hasta los regalos falsos. Muchas de las páginas de estafas se operan desde China, Sri Lanka, Vietnam y Filipinas, agregó el referencia.
Según el resto del mundo, los anuncios de trabajo falsos en Telegram, Facebook y otras redes sociales se utilizan cada vez más para atraer a los jóvenes indonesios y ser traficados a compuestos de estafa en el sudeste oriental, desde donde se ven obligados a ejecutar estafas de inversión y defraudar a las víctimas de todo el mundo.
