Bir dizi kötü amaçlı yazılım, üretken AI araçlarının kullanıcılarını hedefleyen tespit edildi ve saldırganlar, kötü amaçlı yazılımları yaymak için popüler Kling AI platformu olarak poz verdi. Check Point Research (CPR) tarafından ayrıntılı bir analize göre, kampanya kullanıcıları kötü amaçlı dosyalar indirmek için kandırmak için sahte sosyal medya reklamları ve klonlanmış web siteleri kullandı.
Kling AI nedir?
Kling AI, bir Çinli teknoloji şirketi olan Kuaishou tarafından geliştirilen ve metin istemlerini veya görüntülerini videolara dönüştüren AI destekli bir video üretme aracıdır. Haziran 2024’te başlatıldı; Platformda altı milyondan fazla kayıtlı kullanıcı var. Kling AI’nın popülaritesi ve dünya çapında kullanımı onu siber suçlular için kazançlı bir hedef haline getirir.
Sahte reklamlar
Saldırı, Kling AI’yı tanıtan sponsorlu Facebook reklamlarıyla başladı. Reklamlar, gerçek Kling AI arayüzünü taklit etmek için tasarlanmış sahte bir siteye bağlandı. Bir kez, kullanıcılardan bir resim yüklemeleri ve üretken araçlar kullanan herkes için tanıdık bir etkileşim olan “Oluştur” u tıklamaları istendi.
Yapay zeka tarafından oluşturulan medya almak yerine, kullanıcılar indirilebilir bir dosya verildi. Zararsız görünüyordu, gibi bir şey olarak adlandırıldı Generated_Image_2025.jpgstandart bir görüntü simgesi ile tamamlayın. Ama bu bir görüntü dosyası değildi. Kullanıcının sistemine sessizce yazılım yüklemek için inşa edilmiş gizlenmiş bir yürütülebilir üründü.
Kötü Yazılım Nasıl Çalışır
Kötü amaçlı yazılım adı, aile veya tip bilinmemekle birlikte, saldırının ilk aşaması dosya adı maskesi olarak bilinen şeye dayanıyordu. Kötü niyetli bir dosyaya ortak bir medya formatının görünümünü vererek, saldırganlar kullanıcıların onu açma şansını artırdı. Kurulduktan sonra, kötü amaçlı yazılım sistemde kaldı ve bilgisayar her açıldığında koştu.
Burada bitmedi. Gerçek hasar ikinci aşamada, bir uzaktan erişim Truva atı (sıçan), tehlikeye atılan sistemlere konuşlandırıldığında gerçekleşti. Bu araç, tehlikeye atılan sistemi harici bir komut merkezine bağladı. Bu, saldırganların etkinliği izlemesine, depolanmış tarayıcı verilerini toplamasına ve hatta kurbanın bilgisi olmadan sistemin tam kontrolünü almasına izin verdi.
Bu kampanyada kullanılan her sıçan varyantının, antivirüs araçları tarafından tespit edilmesini önleyecek şekilde biraz değiştirildiğini kontrol noktası raporları. Bazı örnekler “Kling AI Test Startup”Veya saldırının arkasındaki grubun yöntemlerini aktif olarak test ettiğini ve ayarladığını öne süren“ Kling AI 25/03/2025 ”gibi tarihli belirteçler.
Arkasında kim var?
Saldırganların kimliği hala araştırılıyorken, CPR operasyonu Vietnam merkezli gruplara bağlayan göstergeler buldu. Bu ipuçları, kötü amaçlı yazılımdaki Vietnamca dil hata ayıklama dizelerini ve Facebook’u teslimat kanalı olarak kullanan önceki kampanyalara benzerlikler içerir.
Bölgedeki siber suçlu gruplar, Facebook’ta sahte reklamlar ve veri çalma kötü amaçlı yazılımları içeren geçmiş olaylara bağlanmıştır. Bu işlem bu desene uyuyor ve siber tehditlerin mevcut dijital eğilimlere nasıl uyum sağladığı konusunda bir adım daha işaret ediyor.
Vektör olarak AI araçları
AI üretken araçlar her zamankinden daha popüler hale geliyor ve saldırganlar bu popülerliği bir avantaja dönüştürmenin yollarını buluyor. Güvenilir hizmetlerin görünümünü ve hissini kopyalayarak, özellikle sahte site cilalı ve gerçek göründüğünde insanların yasal olduğunu varsayarlar.
Check Point, kullanıcılara sponsorlu reklamlar konusunda temkinli olmalarını ve herhangi bir şey indirmeden önce her zaman kaynağı doğrulamalarını önerir.