Sosyal medya platformundaki sahte Facebook sayfaları ve sponsorlu reklamlar, kurbanları kötü amaçlı yazılımları indirmek için kandırmak amacıyla Kling AI olarak görünen sahte web sitelerine yönlendirmek için kullanıcıları yönlendirmek için kullanılmaktadır.
Kling AI, görüntüleri ve videoları metin ve görüntü istemlerinden sentezlemek için yapay zeka (AI) destekli bir platformdur. Haziran 2024’te piyasaya sürülen, merkezi Pekin, Çin’de bulunan Kuaishou Technology tarafından geliştirildi. Nisan 2025 itibariyle, hizmetin şirketten veriler başına 22 milyondan fazla bir kullanıcı tabanı vardır.
Check Point, “Saldırı, sonuçta bir uzaktan erişim Truva atının (sıçan) yürütülmesine yol açan, saldırganların kurbanın sisteminin uzaktan kumandasını ve hassas verileri çalma yeteneğini sağlayan kötü amaçlı bir dosya dağıtmak için sahte Facebook sayfaları ve reklamlar kullandı.” Dedi.
İlk olarak 2025’in başlarında tespit edilen kampanya, şüphesiz kullanıcıları Klingaimedia gibi sahte bir web sitesine götürüyor[.]com veya blade stüdyosu[.]com, burada doğrudan tarayıcıda AI tarafından oluşturulan görüntüler veya videolar oluşturmaları istenir.
Ancak, web sitesi reklamı yapılan multimedya sayısını oluşturmaz. Aksine, gerçekte, çift uzantılar ve Hangul Dolgu (0xe3 0x85 0xa4) karakterlerini kullanan gizlenmiş kötü amaçlı bir pencere yürütülebilir dosyası olan iddia edilen bir görüntü veya videoya seçeneği sunar.
Yük bir zip arşivine dahil edilir ve bir uzaktan erişim truva atı ve daha sonra bir komut ve kontrol (C2) sunucusu ile temas kuran ve tarayıcıda saklı kimlik bilgileri, oturum belirteçleri ve diğer hassas verileri pespiltratlar başlatmak için bir yükleyici görevi görür.
Yükleyici, Wireshark, Ollydbg, Procmon, ProceXP, Pestudio ve Fiddler gibi analiz araçlarının izlenmesinin yanı sıra, kalıcılığı ayarlamak için Windows kayıt defteri değişiklikleri yapar ve ikinci aşamayı “caspol.exe” veya “installutil.exe” gibi meşru bir sistem sürecine enjekte ederek başlatır.
.NET reaktörü kullanılarak gizlenen ikinci aşama yük, uzak bir sunucuya temas eden PurEHVNC sıçanıdır (185.149.232[.]197) ve krom bazlı tarayıcılara yüklenen birkaç kripto para birimi cüzdan uzantısından veri çalma özellikleriyle birlikte gelir. PurEHVNC ayrıca bankalar ve cüzdanlarla eşleşen pencere başlıkları açıldığında ekran görüntülerini yakalamak için eklenti tabanlı bir yaklaşım benimser.
Check Point, Kling yapay zekasını taklit eden sahte sosyal medya sayfalarından en az 70 tanıtılan gönderiyi tespit ettiğini söyledi. Şu anda kampanyanın arkasında kimin olduğu açık değil, ancak sahte web sitesinin web sayfasından toplanan kanıtlar ve bazı reklamlar Vietnam’dan olabileceğini gösteriyor.
Stealer kötü amaçlı yazılımları dağıtmak için Facebook kötü niyetli tekniklerin kullanılması, kötü amaçlı yazılımları zorlamak için üretken AI araçlarının popülaritesinden giderek daha fazla yararlanan Vietnam tehdit aktörlerinin denenmiş ve test edilmiş bir taktiği olmuştur.
Bu ayın başlarında Morphisec, bir Vietnam tehdit oyuncusunun, kullanıcıları Noodlophile olarak adlandırılan bir bilgi çalma kötü amaçlı yazılımını indirmeye ikna etmek için bir cazibe olarak sahte AI destekli araçlardan yararlandığını açıkladı.
Check Point, “Kling AI’sını sahte reklamlar ve aldatıcı web siteleri aracılığıyla taklit eden bu kampanya, tehdit aktörlerinin kullanıcıların sistemlerine ve kişisel verilerine erişmek için sosyal mühendisliği nasıl birleştirdiğini gösteriyor.” Dedi.
“Dosyadan maskelenen uzaktan erişim ve veri hırsızlığına kadar değişen taktiklerle ve Vietnam tehdit gruplarına işaret eden bu operasyon, giderek daha fazla hedeflenen ve sofistike sosyal medya tabanlı saldırıların daha geniş bir eğilimine uyuyor.”
Geliştirme, Wall Street Journal’ın Meta’nın bir “dolandırıcılık salgını” ile mücadele ettiğini, siber suçluların Facebook ve Instagram’ı romantizm yeminden kabataslak pazarlık reklamlarına sahte hediyelere kadar çeşitli dolandırıcılıklarla su altında tuttuğunu bildirdi. Raporda, aldatmaca sayfaların çoğunun Çin, Sri Lanka, Vietnam ve Filipinler’den işletildiğini de sözlerine ekledi.
Dünyanın geri kalanına göre, Telegram, Facebook ve diğer sosyal medyadaki sahte iş reklamları, genç Endonezyalıları cezbetmek ve Güneydoğu Asya’daki dolandırıcılık bileşiklerine kaçmak için, dünyadaki yatırım dolandırıcılığına ve dolandırıcılıklara zorlandıklarını giderek daha fazla kullanılmaktadır.