Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Кампания хакеров: маскировка под AI-сервис и кража данных

3
3 мин
В начале 2025 года была зафиксирована новая масштабная хакерская кампания, связанная с использованием популярных платформ для создания мультимедийного контента на базе искусственного интеллекта. Злоумышленники выдают себя за легальный сервис Kling AI, используя сложные методы социальной инженерии и технические уловки для компрометации пользователей. Вредоносная кампания основана на создании поддельных страниц в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и использовании платной рекламы для привлечения жертв. Пользователи переадресовывались на фальшивый сайт, имитирующий Kling AI, где им предлагалось отправить запрос на создание мультимедийных файлов. Запущенный вредоносный исполняемый файл функционирует как загрузчик, который инсталлирует программу-похититель информации. Она предназначена для сбора конфиденциальных данных из браузеров, включая учетные данные и токены сеанса. Особенности загрузчика: В качестве в
Оглавление

Маскировка под легальный сервис: новая волна кибератак с использованием искусственного интеллекта

В начале 2025 года была зафиксирована новая масштабная хакерская кампания, связанная с использованием популярных платформ для создания мультимедийного контента на базе искусственного интеллекта. Злоумышленники выдают себя за легальный сервис Kling AI, используя сложные методы социальной инженерии и технические уловки для компрометации пользователей.

Как работает атака

Вредоносная кампания основана на создании поддельных страниц в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и использовании платной рекламы для привлечения жертв. Пользователи переадресовывались на фальшивый сайт, имитирующий Kling AI, где им предлагалось отправить запрос на создание мультимедийных файлов.

  • Вместо ожидаемых медиафайлов жертвам предоставлялись вредоносные исполняемые файлы;
  • Файлы маскировались под привычные расширения, такие как .mp4 и .jpg;
  • Для сокрытия истинного формата применялись хитроумные символы-заполнители на языке хангыль, обманывающие пользователя и заставляющие запустить исполняемый файл.

Технические особенности вредоносного ПО

Запущенный вредоносный исполняемый файл функционирует как загрузчик, который инсталлирует программу-похититель информации. Она предназначена для сбора конфиденциальных данных из браузеров, включая учетные данные и токены сеанса.

Особенности загрузчика:

  • Использование .NET AOT (Ahead-Of-Time) компиляции для повышения скрытности и обхода традиционных систем безопасности;
  • Обеспечение постоянства работы — создаётся ключ запуска в реестре Windows и копирование файла в локальный каталог данных приложения;
  • Защита от анализа злоумышленниками — выявляет наличие инструментов для анализа и внедряется в легитимные системные процессы.

Троян удаленного доступа PureHVNC (RAT) — вторая стадия атаки

В качестве вторичной полезной нагрузки используется троян удаленного доступа PureHVNC, распространяемый в виде .NET-DLL, обычно защищённой с помощью .NET Reactor. Его конфигурация содержит ключевые данные, включая IP-адрес управляющего сервера и параметры кампании.

PureHVNC обладает широким набором возможностей:

  • Сбор информации о расширениях браузеров и приложениях, связанных с криптовалютой;
  • Мониторинг активности системы, особенно окон, связанных с криптовалютными кошельками и банковскими операциями;
  • Фильтрация и сбор данных по «интересным» ключевым словам, позволяющим выявлять ценные сведения.

Контекст и связь с предыдущими атаками

Исторический анализ указывает, что текущая кампания является развитием ранних попыток распространения вредоносной рекламы, предполагающей интерактивное поведение пользователей на веб-сайтах. Многие из подобных сайтов уже были отмечены как неактивные или неработоспособные, но продолжали служить плацдармом для распространения вредоносного контента.

Подозрения указывают на участие вьетнамских хакерских групп, что подтверждается:

  • Использованием вьетнамского языка в исходных кодах и рекламных материалах;
  • Повторяющейся тактикой социальной инженерии и техническими приёмами.

Выводы

Данная кампания демонстрирует постоянство и эволюцию методов злоумышленников, активно использующих социальную инженерию в сочетании с техническими инновациями. Маскировка вредоносных файлов под легитимные мультимедийные продукты и использование передовых средств сокрытия представляют серьёзную угрозу для пользователей, особенно тех, кто взаимодействует с сервисами искусственного интеллекта и криптовалютами.

Эксперты настоятельно рекомендуют:

  • Проявлять осторожность при получении файлов из непроверенных источников;
  • Проверять URL-адреса веб-сайтов и официальность рекламных объявлений;
  • Использовать современные решения по кибербезопасности, способные выявлять сложные загрузчики и RAT;
  • Обновлять системы и приложения для минимизации уязвимостей.

_Текущие тенденции ясно показывают, что киберугрозы становятся всё более изощрёнными, и пользователям следует быть особенно внимательными к подозрительным материалам, даже если они приходят из источников, позиционирующихся как легитимные сервисы AI._

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания хакеров: маскировка под AI-сервис и кража данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются