22/05/25
Популярность платформы Kling AI, создающей изображения и видео на основе текстовых и графических подсказок, обернулась серьёзной киберугрозой. По данным экспертов Check Point, поддельные страницы в Facebook* и рекламные публикации с логотипом Kling AI направляют пользователей на вредоносные сайты-двойники, предлагая якобы воспользоваться генеративными функциями сервиса. Однако вместо изображений и видео жертвы получают на компьютер удалённый троянский доступ и вредонос, ворующий конфиденциальную информацию. Это передаёт Securitylab.
Платформа Kling AI была запущена в июне 2024 года китайской компанией Kuaishou Technology и к апрелю 2025-го собрала более 22 миллионов пользователей. Этим и воспользовались злоумышленники, которые начали кампанию, основанную на социальной инженерии, фальшивых сайтах и тщательно продуманных обманках, замаскированных под обычные медиафайлы.
Вредоносная активность впервые была зафиксирована в начале 2025 года. Жертв заманивают на сайты вроде «klingaimedia[.]com» и «klingaistudio[.]com», где обещают мгновенно сгенерировать изображение или видео. Однако загружаемый файл в действительности представляет собой исполняемый файл Windows с двойным расширением и скрытыми символами Unicode, предназначенный для обхода антивирусов .
Файл-загрузчик запускает цепочку атак: устанавливает троянский доступ (RAT), инфостилер и подключается к управляющему серверу, чтобы передать учётные данные, сессионные токены и содержимое криптокошельков из браузеров на движке Chromium. Вредонос также умеет делать скриншоты, когда пользователь открывает сайты банков или криптовалютных сервисов, и реализует это через систему плагинов.
Особую изощрённость атакам придаёт то, как они избегают обнаружения. Загрузчик проверяет наличие инструментов анализа вроде Wireshark, Procmon или OllyDbg, изменяет записи в реестре Windows для сохранения постоянства и внедряет второй этап вредоносного кода в легитимные системные процессы, такие как «CasPol.exe» или «InstallUtil.exe».
Второй этап, защищённый с помощью .NET Reactor, представляет собой PureHVNC RAT — инструмент удалённого доступа, работающий через сервер 185.149.232[.]197. Он позволяет полностью управлять заражённой системой и использовать её для кражи данных.
Компания Check Point обнаружила не менее 70 продвигаемых постов от фейковых страниц, притворяющихся Kling AI, и указывает на возможный вьетнамский след в кампании — ряд элементов на поддельных сайтах и рекламных баннерах указывают на вьетнамское происхождение.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
