Вместо видео — троян. Вьетнамский клон «Kling AI» превратил генерацию контента в цифровую подставу

Популярность платформы Kling AI, создающей изображения и видео на основе текстовых и графических подсказок, обернулась серьёзной киберугрозой. По данным экспертов Check Point, поддельные страницы в Facebook* и рекламные публикации с логотипом Kling AI направляют пользователей на вредоносные сайты-двойники, предлагая якобы воспользоваться генеративными функциями сервиса. Однако вместо изображений и видео жертвы получают на компьютер удалённый троянский доступ и вредонос, ворующий конфиденциальную информацию.

Платформа Kling AI была запущена в июне 2024 года китайской компанией Kuaishou Technology и к апрелю 2025-го собрала более 22 миллионов пользователей. Этим и воспользовались злоумышленники, которые начали кампанию, основанную на социальной инженерии, фальшивых сайтах и тщательно продуманных обманках, замаскированных под обычные медиафайлы.

Вредоносная активность впервые была зафиксирована в начале 2025 года. Жертв заманивают на сайты вроде «klingaimedia[.]com» и «klingaistudio[.]com», где обещают мгновенно сгенерировать изображение или видео. Однако загружаемый файл в действительности представляет собой исполняемый файл Windows с двойным расширением и скрытыми символами Unicode, предназначенный для обхода антивирусов .

Файл-загрузчик запускает цепочку атак: устанавливает троянский доступ (RAT), инфостилер и подключается к управляющему серверу, чтобы передать учётные данные, сессионные токены и содержимое криптокошельков из браузеров на движке Chromium. Вредонос также умеет делать скриншоты, когда пользователь открывает сайты банков или криптовалютных сервисов, и реализует это через систему плагинов.

Особую изощрённость атакам придаёт то, как они избегают обнаружения. Загрузчик проверяет наличие инструментов анализа вроде Wireshark, Procmon или OllyDbg, изменяет записи в реестре Windows для сохранения постоянства и внедряет второй этап вредоносного кода в легитимные системные процессы, такие как «CasPol.exe» или «InstallUtil.exe».

Второй этап, защищённый с помощью .NET Reactor, представляет собой PureHVNC RAT — инструмент удалённого доступа, работающий через сервер 185.149.232[.]197. Он позволяет полностью управлять заражённой системой и использовать её для кражи данных.

Компания Check Point обнаружила не менее 70 продвигаемых постов от фейковых страниц, притворяющихся Kling AI, и указывает на возможный вьетнамский след в кампании — ряд элементов на поддельных сайтах и рекламных баннерах указывают на вьетнамское происхождение.

Техника продвижения вредоносов через рекламу в Facebook — отнюдь не нова. Ранее уже фиксировалась активность вьетнамских групп, распространяющих вредоносы под видом ИИ-инструментов. В частности, в начале мая компания Morphisec сообщила о вредоносной кампании с участием стилера Noodlophile , также маскирующегося под генеративный сервис.

Фоном для всего этого служит стремительное распространение мошенничеств в соцсетях. По данным The Wall Street Journal, Meta* борется с «эпидемией обмана» — её платформы буквально захвачены рекламами фальшивых лотерей, фейковыми романтическими предложениями и псевдо-распродажами. Множество таких страниц контролируются из Китая, Вьетнама, Филиппин и Шри-Ланки.

Параллельно с этим, как сообщает издание Rest of World, фиктивные вакансии на Facebook, Telegram и других платформах используются для вербовки молодых индонезийцев, которых затем вывозят в лагеря в Юго-Восточной Азии, где они под угрозой насилия участвуют в мошеннических схемах с инвестициями.

Вся эта история с подделкой Kling AI — лишь один пример новой волны атак, сочетающих элементы социальной инженерии, продвинутого вредоносного ПО и ложной рекламы, в рамках растущей тенденции использования соцсетей как основного канала заражения и обмана.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.