Вредоносная реклама Facebook заманивает жертв на фальшивый сайт по созданию искусственного интеллекта

При отправке текстовых запросов или изображений пользователи создают медиафайлы, скрывающие исполняемый файл с использованием символов Hangul. Некоторые файлы используют компиляцию .NET Native AOT для скрытности и установки инфопохитителя для мониторинга данных.

Исследование от Check Point Research выявило, что фальшивая реклама на Facebook* привлекает пользователей на поддельный сайт Kling AI, где они загружают вредоносные исполняемые файлы, скрывающиеся под видом изображений или видео. Загрузчики используют маскировку и обфускацию, обманывая пользователей и украденные конфиденциальные данные из браузера. Анализируя цепь атаки, исследование показывает технические механизмы и эволюционирующие подходы этой кампании.

Кампания с использованием фальшивой рекламы на Facebook* начала в начале 2025 года и использовала цепь инфицирования через социальные сети. Поддельные рекламные посты и страницы на соцсетях обманывают пользователей, предлагая создание искусственного интеллекта в браузере, что фактически устанавливает вредоносные программы. Пользователи, ожидающие генерированного контента, запускают вредоносные файлы, которые похищают их данные, дезинформируя о своей истинной природе.

Эта маскировка исполняемых файлов под видом мультимедийных файлов, использование многоточия в именах файлов и символов Hangul Filler для скрытия опасности создает сложности в обнаружении атак и подчеркивает важность осведомленности пользователей о защите от интернет-угроз.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

IPv4

• 147.135.244.43
• 185.149.232.197
• 185.149.232.221

Domains

• kingaimediapro.com
• kingaiplus.com
• kingaivideotext.com
• klingaieditor.com
• klingaimedia.com
• klingaistudio.com

URLs

• https://www.facebook.com/61574162357787/
• https://www.facebook.com/61574724896485/
• https://www.facebook.com/people/KLING-AI/61574316153107/

SHA256

• 06d9d60ddbe835abc5b16911a35732cc9b56ea9425de210961a15d465823978f
• 0c9228983fbd928ac94c057a00d744d6be4bd4c1b39d1465b7d955b7d35bf496
• 1e66ebaef295c2a32245162979d167cebad1fece51b7cdb6a6c3a1d705befa6b
• 2588fdfa7417d617df2d31eddea710d0f964008abc2f4860cdff588ab9786d0a
• 2d5e01cfacdf9f900b51b0539e0809f22ce1859eac0886866af35a2eb2dc2d42
• 30e26f4fd7cb0ac626950bb01e01a2c02e277727d1d3ec94286a44af262f37cf
• 39d771c12bd5da15d3fb63905df1e2c4c7c12b8f77c630a35b247c418950eafe
• 3fba4a0942244e9c3ad25a57a21f91b06f8732a2ca36da948ae5f0afa51dc72b
• 4bbaf3ececd53bc4028723e87b1669268a6fadc4d480590c2d59bb4322a17de7
• 5200b27726c0be8e6f34a3920fbd5d40aeaec460169b1f3c7a174ebeee6553d9
• 557becfcc7eccaa5a7368a6d5583404af26aadede2c345d6070e6e9fab44a641
• 699e348260ae5b60cd822325f1c4bf2c793f6f25001357856c58520a9af10987
• 7035b5ba24146db537eedb1f05e6cad1775f9f5e81306f72422c03b288f75448
• 732aa8ed8ca9a12f4bfc29a693ec3eba74ed1b2d00de4296180d91b86d09747b
• 839371cd5a5d66828ac9524182769371dede9606826ad7c22c3bb18fb2ee91cb
• 9dab2badfdae86963b2f13ce8942fe78dd66ec497f8d82dd40c0cb5bec4fb2a7
• a5baceb97a2be17fdd0c282292ebb0b5a56a555013a4c8fffcc2335c504780fb
• b33e162a78b7b8e7dbbab5d1572d63814077fa524067ce79c37f52441b8bd384
• beeea592251a0a205b3bdb34802bd2f4f5181ee38226a05ec468a86be44e9508
• cee3f98b5f175219d025a92eddec4fd8bcaae31e6ad99321ae7c00b822063fc3
• d1b712b215612c8df5fef02b614c616a78b723bffbec6e10e32bfd0b758df41b
• d95b3eabfe9892371cb518fd6e733d2d33d2fabb2b1df4dab650a8f8e1ea8745
• f5b31bd394e0a3adb6bd175207b8c3ccc51850c8f2cee1149a8421736168e13e
• f89298933fed52511bb78f8f377979190e37367d72ccf4f3b81374a70362cc42