Golpe com IA generativa que mira usuários do Kling AI

08/08/2025 mindsecblog Notícias 0

Check Point Software alerta sobre golpe com IA generativa que mira usuários do Kling AI

Campanha maliciosa utiliza anúncios falsos e site clonado para distribuir malware com controle remoto e roubo de dados, pois combina engenharia social com malware avançado para acessar sistemas e dados pessoais dos usuários

No início de 2025, a Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificou uma campanha de ciberataques que explorava a popularidade do serviço Kling AI, uma plataforma de IA generativa especializada em gerar mídias a partir de comandos de texto. O ataque começou com anúncios enganosos nas redes sociais que levavam a um site falso, projetado para fraudar os usuários e fazê-los baixar arquivos maliciosos. Os pesquisadores publicaram detalhamento sobre ataques de personificação no site da CPR: acesse aqui.

De anúncios falsos a downloads fraudulentos

O ataque começa com anúncios falsos nas redes sociais. Desde o início deste ano, a equipe da Check Point Reasearch identificou cerca de 70 postagens patrocinadas promovendo falsamente a ferramenta Kling AI. Esses anúncios vêm de páginas fraudulentas que imitam de forma convincente a empresa real.

Ao clicar em um desses anúncios, o usuário é levado a um site falso que imita fielmente a interface do Kling AI. Assim como a ferramenta verdadeira, o site convida o usuário a fazer upload de imagens e clicar no botão “Gerar” para ver os resultados produzidos por IA. No entanto, em vez de entregar uma imagem ou vídeo, o site oferece um download — que aparenta ser um arquivo compactado com um novo arquivo de mídia gerado por IA.

O arquivo baixado se apresenta como uma imagem inofensiva, com nome como Generated_Image_2025[.]jpg e até um ícone familiar de imagem. Porém, por trás dessa aparência inofensiva está um programa disfarçado, feito para comprometer o sistema do usuário. Essa técnica — chamada de mascaramento de nome de arquivo — é uma tática comum usada por criminosos para enganar usuários e levá-los a executar softwares maliciosos.

Ao ser aberto, o programa se instala silenciosamente, garante sua execução automática toda vez que o computador for ligado e verifica se está sendo monitorado ou analisado por ferramentas de segurança, tentando evitar detecção.

Fase 2: Tomada silenciosa com ferramentas de acesso remoto

Após a abertura do arquivo falso, uma segunda ameaça — mais grave — é ativada. Nessa fase, é instalado um Trojan de Acesso Remoto (RAT), um malware que permite aos atacantes controlar o computador da vítima a distância.

Cada versão dessa ferramenta é ligeiramente modificada para evitar detecção, mas todas incluem um arquivo de configuração oculto que se conecta ao servidor dos atacantes. Esses arquivos também contêm nomes de campanha como “Kling AI 25/03/2025” ou “Kling AI Test Startup”, sugerindo testes e atualizações contínuas por parte dos criminosos.

Uma vez instalado, o malware começa a monitorar o sistema — especialmente navegadores e extensões que armazenam senhas ou dados sensíveis — permitindo o roubo de informações pessoais e acesso prolongado ao dispositivo.

Um modus operandi conhecido: rastreando a campanha

Embora a identidade exata dos criminosos permaneça desconhecida, evidências apontam fortemente para atores de ameaça do Vietnã. Golpes e campanhas de malware com base no Facebook são táticas conhecidas entre grupos da região — especialmente aqueles focados em roubo de dados pessoais.

A análise revelou várias pistas nesse sentido. Campanhas anteriores com temas de ferramentas de IA continham termos em vietnamita no código do malware. De forma consistente, os pesquisadores da Check Point Software encontraram diversas referências, como mensagens de debug, em vietnamita nesta campanha recente.

Essas descobertas estão alinhadas com padrões mais amplos observados por outros pesquisadores de segurança que investigam campanhas similares de malvertising no Facebook.

Como se defender da nova geração de ameaças com tema de IA

À medida que ferramentas de IA generativa ganham popularidade, cibercriminosos encontram novas maneiras de explorar essa confiança. Esta campanha, que personificou o Kling AI por meio de anúncios falsos e sites enganosos, demonstra como atores de ameaça estão combinando engenharia social com malware avançado para acessar sistemas e dados pessoais dos usuários.

Com táticas que vão desde o mascaramento de arquivos até o uso de ferramentas de acesso remoto e roubo de dados — e indícios de envolvimento de grupos vietnamitas —, esta operação se encaixa em uma tendência mais ampla de ataques direcionados e sofisticados via redes sociais.

Para ajudar organizações a se proteger, a empresa conta com o Check Point Threat Emulation e o Harmony Endpoint que oferecem cobertura abrangente contra métodos de ataque, tipos de arquivos e sistemas operacionais — bloqueando de forma eficaz as ameaças descritas neste comunicado. Os pesquisadores da Check Point Software seguem ressaltando que a detecção proativa de ameaças e a conscientização dos usuários continuam sendo essenciais na defesa contra ameaças cibernéticas em evolução.

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.