POZOR! Hackeri sa tvária ako známy AI nástroj. Kradnú cez neho citlivé údaje vrátane bankových!
Hackeri sa vydávajú za Kling AI a pomocou falošných reklám inštalujú obetiam do zariadení malvér, ktorý kradne citlivé údaje vrátane údajov z bankových kariet.
Začiatkom tohto roka bezpečnostní analytici z Checkpoint Research objavili rastúcu hackerskú kampaň, ktorá zneužíva popularitu AI platforiem na generovanie obsahu.
Ich podvodná stránka imitovala Kling AI, čo je legitímny nástroj na generovanie obrázkov a videí. Svoju podvodnú stránku propagovali cez falošné Facebook reklamy. Keď užívateľ natrafil na túto podvodnú reklamu, tá ho zaviedla na presvedčivo vyzerajúcu stránku, ktorá imitovala stránku Kling AI.
Na stránke sú užívatelia nabádaní, aby vytvorili AI generované obrázky alebo videá priamo v prehliadači. Užívateľ zadá prompt, počká, kým mu AI obrázok vygeneruje a následne sa začína podvod. Namiesto generovaného obrázku alebo videa stránka ponúkne užívateľovi škodlivý súbor na stiahnutie. Tieto súbory majú príponu “.mp4” alebo “.jpg”, no v skutočnosti sú to maskované EXE súbory.
Ako prebieha útok?
Hackeri v tomto prípade používajú známy trik dvojitých prípon. V skutočnosti má súbor príponu “.exe”, no túto príponu užívateľ nevidí, lebo vo väčšine prípadov Windows nezobrazuje prípony súborov. Ak máš túto funkciu ale zapnutú, videl by si, že sa škodlivý súbor končí “dvojpríponou” “.jpg.exe”. Ak máš skúsenosti v IT sfére, určite vieš, že posledná prípona je vždy rozhodujúca.
Keď obeť útoku stiahne a spustí súbor, v nádeji, že uvidí ukážku svojho videa, namiesto toho spúšťa loader. Ten sťahuje do zariadenia rôzne typy škodlivého softvéru, najčastejšie ale infostealery, ktoré dokážu kradnúť rôzne citlivé dáta a prihlasovacie údaje, vrátane bankových údajov.
Neprehliadni
Ako sme už spomenuli na začiatku, kampaň hackerov sa spustila niekedy od začiatku roka a stále prebieha. Bezpečnostní analytici počas vyšetrovania identifikovali viac ako 70 falošných reklám, ktoré sa šírili platformou Facebook. Tieto falošné reklamy sa vydávali za Kling AI.
“Falošné Facebook reklamy sú vo forme príspevkov s textom a mediálnymi súbormi. V texte sa nachádza aj falošný odkaz, ktorý užívateľov zavedie na presvedčivú falošnú stránku napodobňujúcu Kling AI. Keď užívateľ zavíta na stránku, tá ho navedie, aby vytvoril AI generovaný obrázok. Keď sa tento proces skončí, následne dostane možnosť stiahnuť si obrázok, alebo dokonca aj video. Stiahne si však škodlivý súbor,” hovoria bezpečnostní analytici.
Údajné generované obrázky sa do zariadenia obete stiahnu v archíve RAR, ktorý obsahuje jediný EXE súbor. Ako sme už spomenuli, po otvorení tohto súboru sa do zariadenia inštaluje infostealer. Tento malvér sa uloží do systémového priečinku, aby sa dokázal udržať v systéme.
Bezpečnostní analytici pozorovali aj prípady, kedy sa do zariadení obetí nainštaloval PureHVNC RAT malvér. Ide o malvér typu Remote Access Trojan, teda trójskeho koňa, ktorý vytvorí v systéme zadné vrátka a dovolí hackerom opakovane sa vracať do infikovaného zariadenia a inštalovať ďalší malvér. Malvér RAT sa zároveň zameriava aj na kradnutie dát z kryptopeňaženiek a četovacích aplikácií.
Pozor na tieto falošné reklamy
Táto kampaň prebieha od začiatku roka až do dnešného dňa. Počas mesiacov bezpečnostní analytici pozorovali, ako hackeri skúšajú nové verzie malvéru a útočia s novými typmi škodlivého softvéru.
Bezpečnostní experti neodhalili, kto sa môže za týmto útokom skrývať. Využívanie Facebook malvertising a šírenie infostealerov je však obľúbenou taktikou vietnamskych hackerov. Výskumníci, ktorí sa venovali iným podobným kampaniam postrehli, že niektoré súbory mali vietnamske názvy.
Hackeri sa vydávajú za legitímnu a bezpečnú platformu Kling AI. Tá odštartovala v júni 2024 a odvtedy získala viac ako 6-miliónov užívateľov. Ak patríš medzi nich, dobre si skontroluj, či si sa dostal na stránku, na ktorú si sa dostať chcel. Najlepšie, ak si oficiálnu doménu Kling AI uložíš do záložiek a spúšťať ju budeš cez tento uložený odkaz.
Komentáre