Negli ultimi mesi, una nuova e insidiosa campagna di malware ha preso di mira milioni di utenti sfruttando la popolarità dell’intelligenza artificiale e in particolare della piattaforma Kling AI. Attraverso pagine Facebook false e inserzioni sponsorizzate, i criminali informatici stanno indirizzando gli utenti verso siti web contraffatti che imitano il portale ufficiale di Kling AI, con l’obiettivo di indurre le vittime a scaricare software dannosi.

Kling AI è una piattaforma AI lanciata nel giugno 2024 da Kuaishou Technology, con oltre 22 milioni di utenti attivi. I cybercriminali hanno creato siti falsi, come klingaimedia.com e klingaistudio.com, che promettono la possibilità di generare immagini e video tramite l’AI. Tuttavia, invece di fornire contenuti multimediali, i siti offrono il download di un file eseguibile malevolo, mascherato da file multimediale e nascosto tramite doppie estensioni e caratteri speciali.

Questo file, una volta eseguito, rilascia un trojan di accesso remoto (RAT) e un malware stealer. Il loader monitora la presenza di strumenti di analisi come Wireshark e OllyDbg, apporta modifiche al registro di Windows per garantirsi la persistenza e inietta la seconda fase del malware in processi legittimi per sfuggire ai controlli antivirus. Il payload principale è il PureHVNC RAT, offuscato tramite .NET Reactor, che si collega a server remoti e ruba credenziali memorizzate nei browser, token di sessione e dati sensibili, inclusi wallet di criptovalute.

Malvertising e campagne social

Check Point ha individuato almeno 70 post sponsorizzati su Facebook, tutti riconducibili a pagine che fingevano di rappresentare Kling AI. Pur non essendo chiaro chi sia il responsabile, diversi indizi suggeriscono un coinvolgimento di gruppi vietnamiti, già noti per campagne simili che sfruttano la popolarità di strumenti AI generativi per diffondere malware.

Questa tattica, detta malvertising, è ormai ampiamente utilizzata per veicolare malware via social media, sfruttando la fiducia degli utenti nei confronti di brand noti o di tendenza. Gli attori malevoli combinano tecniche di ingegneria sociale e malware sofisticati per ottenere l’accesso ai sistemi delle vittime e sottrarre dati personali.

Il fenomeno si inserisce in un contesto più ampio di truffe online, che vede Meta e altre piattaforme social combattere una vera ondata di frodi e campagne dannose, spesso orchestrate da gruppi operanti in Asia. Per evitare di cadere vittima di queste trappole, è fondamentale verificare sempre l’autenticità dei siti visitati e diffidare di annunci troppo allettanti, soprattutto se arrivano tramite social network.