Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Кампания хакеров: маскировка под AI-сервис и кража данных

3
3 мин
Оглавление

Маскировка под легальный сервис: новая волна кибератак с использованием искусственного интеллекта

В начале 2025 года была зафиксирована новая масштабная хакерская кампания, связанная с использованием популярных платформ для создания мультимедийного контента на базе искусственного интеллекта. Злоумышленники выдают себя за легальный сервис Kling AI, используя сложные методы социальной инженерии и технические уловки для компрометации пользователей.

Как работает атака

Вредоносная кампания основана на создании поддельных страниц в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и использовании платной рекламы для привлечения жертв. Пользователи переадресовывались на фальшивый сайт, имитирующий Kling AI, где им предлагалось отправить запрос на создание мультимедийных файлов.

  • Вместо ожидаемых медиафайлов жертвам предоставлялись вредоносные исполняемые файлы;
  • Файлы маскировались под привычные расширения, такие как .mp4 и .jpg;
  • Для сокрытия истинного формата применялись хитроумные символы-заполнители на языке хангыль, обманывающие пользователя и заставляющие запустить исполняемый файл.

Технические особенности вредоносного ПО

Запущенный вредоносный исполняемый файл функционирует как загрузчик, который инсталлирует программу-похититель информации. Она предназначена для сбора конфиденциальных данных из браузеров, включая учетные данные и токены сеанса.

Особенности загрузчика:

  • Использование .NET AOT (Ahead-Of-Time) компиляции для повышения скрытности и обхода традиционных систем безопасности;
  • Обеспечение постоянства работы — создаётся ключ запуска в реестре Windows и копирование файла в локальный каталог данных приложения;
  • Защита от анализа злоумышленниками — выявляет наличие инструментов для анализа и внедряется в легитимные системные процессы.

Троян удаленного доступа PureHVNC (RAT) — вторая стадия атаки

В качестве вторичной полезной нагрузки используется троян удаленного доступа PureHVNC, распространяемый в виде .NET-DLL, обычно защищённой с помощью .NET Reactor. Его конфигурация содержит ключевые данные, включая IP-адрес управляющего сервера и параметры кампании.

PureHVNC обладает широким набором возможностей:

  • Сбор информации о расширениях браузеров и приложениях, связанных с криптовалютой;
  • Мониторинг активности системы, особенно окон, связанных с криптовалютными кошельками и банковскими операциями;
  • Фильтрация и сбор данных по «интересным» ключевым словам, позволяющим выявлять ценные сведения.

Контекст и связь с предыдущими атаками

Исторический анализ указывает, что текущая кампания является развитием ранних попыток распространения вредоносной рекламы, предполагающей интерактивное поведение пользователей на веб-сайтах. Многие из подобных сайтов уже были отмечены как неактивные или неработоспособные, но продолжали служить плацдармом для распространения вредоносного контента.

Подозрения указывают на участие вьетнамских хакерских групп, что подтверждается:

  • Использованием вьетнамского языка в исходных кодах и рекламных материалах;
  • Повторяющейся тактикой социальной инженерии и техническими приёмами.

Выводы

Данная кампания демонстрирует постоянство и эволюцию методов злоумышленников, активно использующих социальную инженерию в сочетании с техническими инновациями. Маскировка вредоносных файлов под легитимные мультимедийные продукты и использование передовых средств сокрытия представляют серьёзную угрозу для пользователей, особенно тех, кто взаимодействует с сервисами искусственного интеллекта и криптовалютами.

Эксперты настоятельно рекомендуют:

  • Проявлять осторожность при получении файлов из непроверенных источников;
  • Проверять URL-адреса веб-сайтов и официальность рекламных объявлений;
  • Использовать современные решения по кибербезопасности, способные выявлять сложные загрузчики и RAT;
  • Обновлять системы и приложения для минимизации уязвимостей.

_Текущие тенденции ясно показывают, что киберугрозы становятся всё более изощрёнными, и пользователям следует быть особенно внимательными к подозрительным материалам, даже если они приходят из источников, позиционирующихся как легитимные сервисы AI._

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания хакеров: маскировка под AI-сервис и кража данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Взгляните на эти темы
Гаджеты и электроника
Смартфоны
Найти тему
Игровые консоли
Колонки и аудиосистемы
VR-очки
Планшеты
Фитнес-трекеры
Нейронные сети (Neural Networks)
Социальные сети и мессенджеры
Технологии будущего
Кибербезопасность
IT (информационные технологии)
Умные часы
Камеры и фототехника
Графические планшеты
Ноутбуки
Наушники
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Кибербезопасность
25,6 тыс интересуются