No início de 2025, a Check Point Research identificou uma campanha de ciberataques que explorava a popularidade do serviço Kling AI, uma plataforma de GenAI especializada em gerar mídias a partir de comandos de texto. Segundo a pesquisa o ataque começou com anúncios enganosos nas redes sociais que levavam a um site falso, projetado para fraudar os usuários e fazê-los baixar arquivos maliciosos.
O ataque começa com anúncios falsos nas redes sociais. A equipe da Check Point Reasearch identificou cerca de 70 postagens patrocinadas promovendo falsamente a ferramenta Kling AI. De acordo com os especialistas, esses anúncios vêm de páginas fraudulentas que imitam de forma convincente a empresa real.
Ao clicar em um desses anúncios, o usuário é levado a um site falso que imita fielmente a interface do Kling AI. Assim como a ferramenta verdadeira, o site convida o usuário a fazer upload de imagens e gerar imagens para ver os resultados produzidos por IA. No entanto, em vez de entregar uma imagem ou vídeo, o site oferece um download, que aparenta ser um arquivo compactado, com um novo arquivo de mídia gerado por IA.
O relatório apontou que o arquivo baixado se apresenta como uma imagem inofensiva, porém, por trás dessa aparência inofensiva está um programa disfarçado, feito para comprometer o sistema do usuário. Essa técnica, chamada de mascaramento de nome de arquivo, é uma tática comum usada por criminosos para enganar usuários e levá-los a executar softwares maliciosos, conforme explicam os especialistas.
Ao ser aberto, o programa se instala silenciosamente, garante sua execução automática toda vez que o computador for ligado e verifica se está sendo monitorado ou analisado por ferramentas de segurança, tentando evitar detecção.
Após a abertura do arquivo falso, uma segunda ameaça é ativada. Nessa fase, é instalado um Trojan de Acesso Remoto (RAT), um malware que permite aos atacantes controlar o computador da vítima a distância. Uma vez instalado, o malware começa a monitorar o sistema, especialmente navegadores e extensões que armazenam senhas ou dados sensíveis, permitindo o roubo de informações pessoais e acesso prolongado ao dispositivo.
Embora a identidade exata dos criminosos permaneça desconhecida, os dados apontam fortemente para atores de ameaça do Vietnã. Golpes e campanhas de malware com base no Facebook são táticas conhecidas entre grupos da região, especialmente aqueles focados em roubo de dados pessoais. A análise revelou que em campanhas anteriores com temas de ferramentas de IA continham termos em vietnamita no código do malware.
De forma consistente, os pesquisadores da Check Point Software encontraram diversas referências, como mensagens de debug, em vietnamita nesta campanha recente. Essas descobertas estão alinhadas com padrões mais amplos observados por outros pesquisadores de segurança que investigam campanhas similares de malvertising no Facebook.
Os pesquisadores afirmaram que à medida que ferramentas de GenAI ganham popularidade, cibercriminosos encontram novas maneiras de explorar essa confiança. Esta campanha, que personificou o Kling AI por meio de anúncios falsos e sites enganosos, demonstra como atores de ameaça estão combinando engenharia social com malware avançado para acessar sistemas e dados pessoais dos usuários.
Com táticas que vão desde o mascaramento de arquivos até o uso de ferramentas de acesso remoto e roubo de dados, esta operação se encaixa em uma tendência mais ampla de ataques direcionados e sofisticados via redes sociais, com o relatório apontou. Os pesquisadores da Check Point Software ressaltaram que a detecção proativa de ameaças e a conscientização dos usuários continuam sendo essenciais na defesa contra ameaças cibernéticas em evolução.
