Segurança

Novo golpe com IA generativa mira usuários do Kling AI, alerta Check Point

No início de 2025, a Check Point Research (CPR) identificou uma campanha de ciberataques que explorava a popularidade do serviço Kling AI, uma plataforma de IA generativa especializada em gerar mídias a partir de comandos de texto. O ataque começou com anúncios enganosos nas redes sociais que levavam a um site falso, projetado para fraudar os usuários e fazê-los baixar arquivos maliciosos. Os pesquisadores publicaram detalhamento sobre ataques de personificação no site da CPR: acesse aqui.

CONTEÚDO RELACIONADO – Ataques de ransomware sobem 69% no Brasil

O ataque começa com anúncios falsos nas redes sociais. Desde o início deste ano, a equipe da Check Point Reasearch identificou cerca de 70 postagens patrocinadas promovendo falsamente a ferramenta Kling AI. Esses anúncios vêm de páginas fraudulentas que imitam de forma convincente a empresa real.

 

Clique Para Download

Ao clicar em um desses anúncios, o usuário é levado a um site falso que imita fielmente a interface do Kling AI. Assim como a ferramenta verdadeira, o site convida o usuário a fazer upload de imagens e clicar no botão “Gerar” para ver os resultados produzidos por IA. No entanto, em vez de entregar uma imagem ou vídeo, o site oferece um download — que aparenta ser um arquivo compactado com um novo arquivo de mídia gerado por IA.

Clique Para Download

O arquivo baixado se apresenta como uma imagem inofensiva, com nome como Generated_Image_2025[.]jpg e até um ícone familiar de imagem. Porém, por trás dessa aparência inofensiva está um programa disfarçado, feito para comprometer o sistema do usuário. Essa técnica — chamada de mascaramento de nome de arquivo — é uma tática comum usada por criminosos para enganar usuários e levá-los a executar softwares maliciosos.

Ao ser aberto, o programa se instala silenciosamente, garante sua execução automática toda vez que o computador for ligado e verifica se está sendo monitorado ou analisado por ferramentas de segurança, tentando evitar detecção.

Fase 2: Tomada silenciosa com ferramentas de acesso remoto

Após a abertura do arquivo falso, uma segunda ameaça – mais grave – é ativada. Nessa fase, é instalado um Trojan de Acesso Remoto (RAT), um malware que permite aos atacantes controlar o computador da vítima a distância.

Cada versão dessa ferramenta é ligeiramente modificada para evitar detecção, mas todas incluem um arquivo de configuração oculto que se conecta ao servidor dos atacantes. Esses arquivos também contêm nomes de campanha como “Kling AI 25/03/2025” ou “Kling AI Test Startup”, sugerindo testes e atualizações contínuas por parte dos criminosos.

Uma vez instalado, o malware começa a monitorar o sistema – especialmente navegadores e extensões que armazenam senhas ou dados sensíveis – permitindo o roubo de informações pessoais e acesso prolongado ao dispositivo.

Clique Para Download

Um modus operandi conhecido: rastreando a campanha

Embora a identidade exata dos criminosos permaneça desconhecida, evidências apontam fortemente para atores de ameaça do Vietnã. Golpes e campanhas de malware com base no Facebook são táticas conhecidas entre grupos da região — especialmente aqueles focados em roubo de dados pessoais.

A análise revelou várias pistas nesse sentido. Campanhas anteriores com temas de ferramentas de IA continham termos em vietnamita no código do malware. De forma consistente, os pesquisadores da Check Point Software encontraram diversas referências, como mensagens de debug, em vietnamita nesta campanha recente.

Essas descobertas estão alinhadas com padrões mais amplos observados por outros pesquisadores de segurança que investigam campanhas similares de malvertising no Facebook.

Como se defender da nova geração de ameaças com tema de IA

À medida que ferramentas de IA generativa ganham popularidade, cibercriminosos encontram novas maneiras de explorar essa confiança. Esta campanha, que personificou o Kling AI por meio de anúncios falsos e sites enganosos, demonstra como atores de ameaça estão combinando engenharia social com malware avançado para acessar sistemas e dados pessoais dos usuários.

Com táticas que vão desde o mascaramento de arquivos até o uso de ferramentas de acesso remoto e roubo de dados — e indícios de envolvimento de grupos vietnamitas —, esta operação se encaixa em uma tendência mais ampla de ataques direcionados e sofisticados via redes sociais.

Para ajudar organizações a se proteger, a empresa conta com o Check Point Threat Emulation e o Harmony Endpoint que oferecem cobertura abrangente contra métodos de ataque, tipos de arquivos e sistemas operacionais — bloqueando de forma eficaz as ameaças descritas neste comunicado. Os pesquisadores da Check Point Software seguem ressaltando que a detecção proativa de ameaças e a conscientização dos usuários continuam sendo essenciais na defesa contra ameaças cibernéticas em evolução.

Participe das comunidades IPNews no InstagramFacebookLinkedIn X

Newsletter

Inscreva-se para receber nossa newsletter semanal
com as principais notícias em primeira mão.


    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *