仿冒Kling AI的Facebook广告分发远程木马:超2200万用户面临风险
仿冒Kling AI的Facebook广告分发远程木马:超2200万用户面临风险
近期,网络安全领域曝光一起针对Facebook用户的恶意广告攻击事件,攻击者通过仿冒知名AI工具“Kling AI”的虚假广告,诱导用户下载伪装成合法软件的远程木马程序,导致全球超2200万用户面临隐私泄露、设备被控等安全风险。
仿冒知名AI工具
攻击者创建与“Kling AI”高度相似的虚假官网和广告页面,利用用户对AI技术的兴趣,宣称提供“免费AI视频/图像生成”服务。用户点击广告后,被引导至恶意下载链接,实际获取的是包含木马的压缩包。多阶段感染流程
用户下载的ZIP文件(如VideoDreamAI.zip)包含伪装成视频编辑工具的恶意程序(如篡改的CapCut版本)。程序运行后,通过隐藏文件夹释放更多组件,包括:恶意加载器(如
CapCut.exe)命令执行模块(如
AICore.dll)密码保护的压缩包(需解密密码:
TONGDUCKIEMDEVELOPER2025)
最终,木马通过内存加载技术执行Noodlophile Stealer窃密程序和XWorm远程控制工具,实现持久化驻留。Telegram机器人外泄数据
窃取的浏览器凭证、加密货币钱包数据等敏感信息,通过Telegram机器人自动上传至攻击者控制的服务器,用户隐私泄露风险极高。
全球传播范围:攻击者通过Facebook广告系统精准投放,部分虚假广告单篇浏览量超6.2万次,覆盖范围广泛。
目标群体:主要针对AI技术爱好者、小型企业及内容创作者,此类用户对AI工具需求高,但安全意识相对薄弱。
潜在危害:
浏览器凭证泄露可能导致社交媒体、邮箱等账号被盗。
加密货币钱包数据被窃取,直接威胁用户财产安全。
XWorm远程控制工具允许攻击者完全控制设备,可能用于进一步传播恶意软件或发起DDoS攻击。
开发者身份:开源情报(OSINT)调查显示,攻击活动疑似由一名越南籍开发者发起,其Facebook主页公开推广恶意软件,并参与其他网络犯罪活动。
技术特征:
恶意程序使用篡改的合法软件签名(如通过Winauth创建的证书)规避检测。
多阶段感染流程设计复杂,结合内存加载、密码保护等技术,增加安全分析难度。
1.用户端防范措施
谨慎下载来源:避免从社交媒体广告、第三方平台直接下载软件,务必通过官方渠道获取。
验证文件真实性:下载后使用VirusTotal等工具扫描,确认无恶意代码再执行。
警惕异常行为:若程序要求解密密码或提示安装额外组件,立即终止操作。
2.企业端防护策略
加强员工培训:定期开展网络安全教育,识别仿冒AI工具的钓鱼广告。
部署终端防护:使用EDR(端点检测与响应)工具实时监控异常行为,拦截木马执行。
限制广告访问:通过防火墙或网络策略屏蔽可疑广告域名,减少暴露风险。
仿冒Kling AI的攻击事件再次暴露了AI技术被滥用的风险。随着AI工具的普及,网络犯罪分子正将其作为社会工程攻击的诱饵,结合复杂的恶意软件传播技术,对用户和企业构成严重威胁。唯有通过技术防护、法律规范与公众教育的协同,才能有效遏制此类攻击,保障数字时代的信息安全。
END
