-
09/04/2020
-
97
-
797 bài viết
Quảng cáo giả mạo Kling AI trên Facebook phát tán mã độc RAT, đánh cắp dữ liệu
Các trang Facebook giả mạo và quảng cáo tài trợ đang bị tin tặc khai thác, lợi dụng để lừa người dùng truy cập vào các trang web giả mạo, mạo danh nền tảng Kling AI, nhằm lừa nạn nhân tải xuống phần mềm độc hại.
Kling AI là một nền tảng trí tuệ nhân tạo (AI) do Kuaishou Technology (Trung Quốc) phát triển, cho phép người dùng tạo hình ảnh và video từ văn bản hoặc hình ảnh đầu vào. Ra mắt năm 2024, đến nay nền tảng này hiện đã có hơn 22 triệu người dùng, trở thành mục tiêu lý tưởng cho các chiến dịch giả mạo.
Trong bối cảnh AI ngày càng phổ biến, chiến dịch giả mạo Kling AI là một ví dụ điển hình cho việc kết hợp giữa lừa đảo mạng xã hội và mã độc tinh vi nhằm tấn công người dùng phổ thông.
Tin tặc đã lợi dụng sự phổ biến của Kling AI nhằm thực hiện các hành vi sau:
Theo tổ chức bảo mật Check Point, đã phát hiện ít nhất 70 bài quảng cáo lừa đảo liên quan đến chiến dịch này. Một số bằng chứng từ mã nguồn và quảng cáo cho thấy nhóm đứng sau có thể đến từ Việt Nam, quốc gia từng ghi nhận nhiều chiến dịch sử dụng kỹ thuật malvertising để phát tán mã độc.
Các chuyên gia bảo mật đặc biệt lưu ý và khuyến cáo người dùng, cần:
Kling AI là một nền tảng trí tuệ nhân tạo (AI) do Kuaishou Technology (Trung Quốc) phát triển, cho phép người dùng tạo hình ảnh và video từ văn bản hoặc hình ảnh đầu vào. Ra mắt năm 2024, đến nay nền tảng này hiện đã có hơn 22 triệu người dùng, trở thành mục tiêu lý tưởng cho các chiến dịch giả mạo.
Trong bối cảnh AI ngày càng phổ biến, chiến dịch giả mạo Kling AI là một ví dụ điển hình cho việc kết hợp giữa lừa đảo mạng xã hội và mã độc tinh vi nhằm tấn công người dùng phổ thông.
Tin tặc đã lợi dụng sự phổ biến của Kling AI nhằm thực hiện các hành vi sau:
- Tạo hàng chục trang Facebook giả và chạy quảng cáo lừa đảo,
- Dẫn dụ người dùng đến các trang web giả như: klingaimedia[.]com, klingaistudio[.]com, ...
- Lừa người dùng tải về phần mềm giả lập tạo ảnh/video AI – thực chất là tập tin thực thi mã độc (.exe), được ẩn dưới định dạng .jpg.exe hoặc .mp4.exe, kèm ký tự đặc biệt (Hangul Filler) nhằm đánh lừa người dùng.
- Tải xuống tệp ZIP chứa mã độc từ trang web giả.
- Tệp .exe hoạt động như loader, cài đặt mã độc PureHVNC Remote Access Trojan (RAT) vào hệ thống.
- Mã độc (RAT) có khả năng:
- Truy cập hệ thống từ xa;
- Đánh cắp dữ liệu như mật khẩu lưu trên trình duyệt, token phiên đăng nhập, ví tiền mã hóa;
- Ghi lại màn hình, đặc biệt khi người dùng mở các ứng dụng ngân hàng hoặc ví điện tử;
- Tự duy trì trên hệ thống bằng cách chỉnh sửa Windows Registry và chèn vào tiến trình hợp pháp như InstallUtil.exe để tránh bị phát hiện.
- Nếu phát hiện các công cụ phân tích như Wireshark, Procmon, Fiddler, mã độc sẽ tự né tránh để tránh bị phát hiện.
- Các trang giả thường sử dụng tên gần giống như Kling AI thật;
- Có quảng cáo Facebook tài trợ gắn mác “AI miễn phí”, “tạo ảnh/video bằng AI không cần đăng ký”;
- File tải về có đuôi lạ, thường là .jpg.exe hoặc .zip.
Theo tổ chức bảo mật Check Point, đã phát hiện ít nhất 70 bài quảng cáo lừa đảo liên quan đến chiến dịch này. Một số bằng chứng từ mã nguồn và quảng cáo cho thấy nhóm đứng sau có thể đến từ Việt Nam, quốc gia từng ghi nhận nhiều chiến dịch sử dụng kỹ thuật malvertising để phát tán mã độc.
Các chuyên gia bảo mật đặc biệt lưu ý và khuyến cáo người dùng, cần:
- Cảnh giác với quảng cáo và liên kết không xác thực: Không click vào quảng cáo và liên kết lạ trên mạng xã hội.
- Không tải tệp lạ từ web không rõ nguồn gốc: Chỉ tải tệp từ các trang web uy tín và tránh mở các tệp có đuôi kép như: .jpg.exe, .doc.scr
- Sử dụng phần mềm bảo mật và cập nhật hệ thống: Cài phần mềm diệt virus và cập nhật hệ thống thường xuyên.
- Cẩn trọng khi cung cấp thông tin cá nhân trực tuyến: Không chia sẻ thông tin cá nhân trên các trang web không rõ nguồn gốc.
Theo The Hacker News
Chỉnh sửa lần cuối: