HackerNews 编译,转载请注明出处:
网络安全公司Check Point披露,黑客利用伪造的Kling AI社交媒体页面及广告,诱导用户下载恶意软件。Kling AI是快手科技2024年6月推出的AI生成图像与视频平台,截至2025年4月用户超2200万。攻击者仿冒官网(如klingaimedia[.]com)设置钓鱼网站,宣称支持浏览器端生成多媒体内容,实则提供藏匿恶意代码的ZIP压缩包。
恶意文件采用双重扩展名(如.jpg.exe)及韩语填充符(0xE3 0x85 0xA4)伪装。压缩包内嵌加载器程序,可植入远程访问木马PureHVNC,并窃取浏览器凭证、会话令牌等数据。该加载器具备反分析能力:
- 监测Wireshark、OllyDbg等安全工具进程修改注册表实现持久化驻留通过注入CasPol.exe等系统进程规避检测
第二阶段载荷PureHVNC RAT使用.NET Reactor混淆,连接C2服务器185.149.232[.]197,具备窃取Chromium浏览器加密货币钱包插件数据、捕捉含特定关键词(银行/钱包名称)窗口截屏等功能。
Check Point已发现至少70个仿冒Kling AI的推广帖,部分广告显示攻击者可能来自越南。这种利用Facebook广告分发窃密软件的手法,与越南黑客组织近年活动模式高度吻合——例如2025年4月Morphisec曾曝光越南团伙通过虚假AI工具传播Noodlophile窃密程序。
《华尔街日报》指出,Meta旗下Facebook和Instagram正面临“诈骗泛滥”,虚假促销、投资骗局及赠品欺诈内容多源自斯里兰卡、越南及菲律宾。另据Rest of World调查,东南亚人口贩卖集团通过Telegram和Facebook发布虚假招聘广告,诱骗印尼青年至诈骗园区从事跨国投资欺诈。
Check Point警告,此类攻击结合社会工程与高阶恶意软件技术,标志着社交媒体定向攻击趋向精准化、复杂化。安全团队建议用户警惕AI工具类广告,下载前验证域名真实性,并启用实时文件扫描防护。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
