Tội phạm mạng hiện đang sử dụng Facebook để quảng bá các trang và quảng cáo giả mạo bắt chước Kling AI, một nền tảng AI phổ biến. Chiến dịch này được phát hiện vào đầu năm nay, nhằm mục đích lừa đảo người dùng bằng cách hướng họ đến các trang web lừa đảo phát tán phần mềm độc hại.
Theo các nhà nghiên cứu bảo mật của Check Point đã phân tích chiến dịch này, tội phạm đang tạo các trang Facebook giả mạo và chạy quảng cáo tài trợ để dụ người dùng vào các trang web giả mạo. Những trang web này mô phỏng hoàn hảo giao diện của nền tảng AI Kling thực.
Khi truy cập vào các trang web lừa đảo này, khách truy cập sẽ được mời tạo nội dung đa phương tiện trực tiếp trên trình duyệt của họ. Tuy nhiên, trái ngược với những lời hứa đã nêu, không có hình ảnh hoặc video nào được tạo ra. Thay vào đó, trang web này cung cấp dịch vụ tải xuống một tệp phương tiện được cho là tệp thực thi Windows độc hại, được ngụy trang bằng phần mở rộng kép và các ký tự Unicode đặc biệt.
Tệp độc hại này, được nén trong tệp ZIP, hoạt động như một trình tải cài đặt trojan truy cập từ xa (RAT) và chương trình đánh cắp dữ liệu. Sau khi được kích hoạt, nó sẽ thiết lập kết nối với máy chủ chỉ huy và điều khiển, cho phép tin tặc truy cập từ xa vào hệ thống bị nhiễm và đánh cắp thông tin nhạy cảm.
Phần mềm độc hại được xác định là PureHVNC RAT, có khả năng giám sát và đánh cắp dữ liệu tiên tiến. Nó có thể thu thập mật khẩu được lưu trữ trong trình duyệt, mã thông báo phiên và các thông tin bí mật khác. Phần mềm này cũng theo dõi việc mở các cửa sổ tương ứng với ngân hàng hoặc ví tiền điện tử để chụp ảnh màn hình.
Để tránh bị phát hiện, phần mềm độc hại theo dõi sự hiện diện của các công cụ phân tích như Wireshark hoặc OllyDbg, sửa đổi sổ đăng ký Windows để đảm bảo tính bền bỉ của nó và tự đưa vào các quy trình hệ thống.
Check Point đã xác định được ít nhất 70 bài đăng từ các trang Facebook giả mạo bắt chước Kling AI. Danh tính chính xác của những kẻ chịu trách nhiệm vẫn chưa được biết, nhưng có một số manh mối cho thấy có nguồn gốc từ Việt Nam, bao gồm một số yếu tố có trên các trang web lừa đảo và trong quảng cáo.
Kỹ thuật sử dụng quảng cáo độc hại trên Facebook để phân phối phần mềm đánh cắp dữ liệu là một chiến thuật đã được chứng minh của các nhóm tội phạm mạng Việt Nam. Chúng ngày càng lợi dụng sự phổ biến của các công cụ AI tạo sinh để phát tán phần mềm độc hại của chúng.
AI dụ nạn nhân
Kling AI là nền tảng do Kuaishou Technology có trụ sở tại Bắc Kinh phát triển, cho phép người dùng tạo hình ảnh và video từ văn bản hoặc hình ảnh. Ra mắt vào tháng 6 năm 2024, ứng dụng này hiện có hơn 22 triệu người dùng. Những kẻ tấn công đang lợi dụng sự phổ biến ngày càng tăng này để bẫy nạn nhân.Theo các nhà nghiên cứu bảo mật của Check Point đã phân tích chiến dịch này, tội phạm đang tạo các trang Facebook giả mạo và chạy quảng cáo tài trợ để dụ người dùng vào các trang web giả mạo. Những trang web này mô phỏng hoàn hảo giao diện của nền tảng AI Kling thực.

Khi truy cập vào các trang web lừa đảo này, khách truy cập sẽ được mời tạo nội dung đa phương tiện trực tiếp trên trình duyệt của họ. Tuy nhiên, trái ngược với những lời hứa đã nêu, không có hình ảnh hoặc video nào được tạo ra. Thay vào đó, trang web này cung cấp dịch vụ tải xuống một tệp phương tiện được cho là tệp thực thi Windows độc hại, được ngụy trang bằng phần mở rộng kép và các ký tự Unicode đặc biệt.
Tệp độc hại này, được nén trong tệp ZIP, hoạt động như một trình tải cài đặt trojan truy cập từ xa (RAT) và chương trình đánh cắp dữ liệu. Sau khi được kích hoạt, nó sẽ thiết lập kết nối với máy chủ chỉ huy và điều khiển, cho phép tin tặc truy cập từ xa vào hệ thống bị nhiễm và đánh cắp thông tin nhạy cảm.
Phần mềm độc hại được xác định là PureHVNC RAT, có khả năng giám sát và đánh cắp dữ liệu tiên tiến. Nó có thể thu thập mật khẩu được lưu trữ trong trình duyệt, mã thông báo phiên và các thông tin bí mật khác. Phần mềm này cũng theo dõi việc mở các cửa sổ tương ứng với ngân hàng hoặc ví tiền điện tử để chụp ảnh màn hình.
Để tránh bị phát hiện, phần mềm độc hại theo dõi sự hiện diện của các công cụ phân tích như Wireshark hoặc OllyDbg, sửa đổi sổ đăng ký Windows để đảm bảo tính bền bỉ của nó và tự đưa vào các quy trình hệ thống.
Check Point đã xác định được ít nhất 70 bài đăng từ các trang Facebook giả mạo bắt chước Kling AI. Danh tính chính xác của những kẻ chịu trách nhiệm vẫn chưa được biết, nhưng có một số manh mối cho thấy có nguồn gốc từ Việt Nam, bao gồm một số yếu tố có trên các trang web lừa đảo và trong quảng cáo.
Kỹ thuật sử dụng quảng cáo độc hại trên Facebook để phân phối phần mềm đánh cắp dữ liệu là một chiến thuật đã được chứng minh của các nhóm tội phạm mạng Việt Nam. Chúng ngày càng lợi dụng sự phổ biến của các công cụ AI tạo sinh để phát tán phần mềm độc hại của chúng.