Halaman Facebook palsu dan iklan yang disponsori di platform media sosial sedang dipekerjakan untuk mengarahkan pengguna ke situs web palsu yang menyamar sebagai Kling AI dengan tujuan menipu para korban untuk mengunduh malware.
Kling AI adalah platform yang didukung oleh kecerdasan buatan (AI) untuk mensintesis gambar dan video dari permintaan teks dan gambar. Diluncurkan pada Juni 2024, dikembangkan oleh Kuaishou Technology, yang berkantor pusat di Beijing, Cina. Pada April 2025, layanan ini memiliki basis pengguna lebih dari 22 juta, per data dari perusahaan.
“Serangan itu menggunakan halaman dan iklan Facebook palsu untuk mendistribusikan file jahat yang pada akhirnya mengarah pada pelaksanaan akses jarak jauh Trojan (RAT), memberikan penyerang kendali jarak jauh dari sistem korban dan kemampuan untuk mencuri data sensitif,” kata Check Point.
Pertama kali terdeteksi pada awal 2025, kampanye ini membawa pengguna yang tidak curiga ke situs web spoofed seperti Klingaimedia[.]com atau Kledaistudio[.]com, di mana mereka diminta untuk membuat gambar atau video yang dihasilkan AI secara langsung di browser.
Namun, situs web tidak menghasilkan jumlah multimedia seperti yang diiklankan. Sebaliknya, ia menawarkan opsi untuk gambar atau video yang diakui yang, pada kenyataannya, adalah Windows yang dapat dieksekusi yang tersembunyi menggunakan ekstensi ganda dan karakter pengisi hangul (0xe3 0x85 0xa4).
Payload termasuk dalam arsip ZIP dan bertindak sebagai loader untuk meluncurkan Trojan akses jarak jauh dan pencuri yang kemudian menjalin kontak dengan server perintah-dan-kontrol (C2) dan mengekspilrat kredensial yang disimpan browser, token sesi, dan data sensitif lainnya.
Loader, selain memantau alat-alat analisis seperti Wireshark, Ollydbg, Procmon, Procexp, Pestudio, dan Fiddler, membuat perubahan Windows Registry untuk mengatur kegigihan dan meluncurkan tahap kedua dengan menyuntikkannya ke dalam proses sistem yang sah seperti “caspol.exe” atau “installutil.exe” untuk menghindari deteksi.
Payload tahap kedua, dikaburkan menggunakan .NET reaktor, adalah tikus purehvnc yang menghubungi server jarak jauh (185.149.232[.]197) dan dilengkapi dengan kemampuan untuk mencuri data dari beberapa ekstensi dompet cryptocurrency yang dipasang pada browser berbasis kromium. Purehvnc juga mengadopsi pendekatan berbasis plugin untuk menangkap tangkapan layar ketika judul jendela yang cocok dengan bank dan dompet dibuka.
Periksa titik mengatakan itu mengidentifikasi tidak kurang dari 70 posting yang dipromosikan dari halaman media sosial palsu menyamar sebagai Kling AI. Saat ini tidak jelas siapa yang ada di belakang kampanye, tetapi bukti yang dikumpulkan dari halaman web situs web palsu dan beberapa iklan menunjukkan bahwa mereka bisa berasal dari Vietnam.
Penggunaan teknik malvertising Facebook untuk mendistribusikan malware pencuri telah menjadi taktik aktor ancaman Vietnam yang telah dicoba dan diuji, yang semakin memanfaatkan popularitas alat AI generatif untuk mendorong malware.
Awal bulan ini, Morphisec mengungkapkan bahwa aktor ancaman Vietnam telah memanfaatkan alat-alat bertenaga AI palsu sebagai umpan untuk menarik pengguna untuk mengunduh malware pencuri informasi yang dijuluki noodlophile.
“Kampanye ini, yang menyamar sebagai Kling AI melalui iklan palsu dan situs web yang menipu, menunjukkan bagaimana aktor ancaman menggabungkan rekayasa sosial dengan malware canggih untuk mendapatkan akses ke sistem pengguna dan data pribadi,” kata Check Point.
“Dengan taktik mulai dari file yang menyamar hingga akses jarak jauh dan pencurian data, dan tanda-tanda yang menunjuk pada kelompok ancaman Vietnam, operasi ini cocok dengan tren yang lebih luas dari serangan berbasis media sosial yang semakin bertarget dan canggih.”
Perkembangan datang ketika Wall Street Journal melaporkan bahwa Meta berjuang melawan “epidemi penipuan,” dengan penjahat cyber membanjiri Facebook dan Instagram dengan berbagai jenis penipuan mulai dari umpan romansa hingga iklan murah yang samar hingga hadiah palsu. Banyak halaman penipuan dioperasikan dari Cina, Sri Lanka, Vietnam, dan Filipina, tambah laporan itu.
Menurut seluruh dunia, iklan pekerjaan palsu di Telegram, Facebook, dan media sosial lainnya semakin terbiasa memikat orang Indonesia muda dan diperdagangkan untuk penipuan senyawa di Asia Tenggara, dari mana mereka dipaksa menjalankan penipuan investasi dan menipu para korban di seluruh dunia.
