Des cybercriminels utilisent actuellement Facebook pour promouvoir de fausses pages et publicités qui imitent Kling AI, une plateforme d’IA populaire. Cette campagne détectée au début de l’année vise à tromper les utilisateurs en les dirigeant vers des sites web frauduleux qui distribuent des logiciels malveillants.
L’IA pour appâter les victimes
Kling AI est une plateforme développée par Kuaishou Technology, basée à Pékin, qui permet de créer des images et vidéos à partir de textes ou d’images. Lancée en juin 2024, elle compte plus de 22 millions d’utilisateurs. Les attaquants exploitent cette popularité croissante pour piéger leurs victimes.
Selon les chercheurs en sécurité de Check Point qui ont analysé cette campagne, les criminels créent de fausses pages Facebook et diffusent des publicités sponsorisées pour attirer les utilisateurs vers des sites contrefaits. Ces derniers imitent parfaitement l’interface de la véritable plateforme Kling AI.
Une fois sur ces sites frauduleux, les visiteurs sont invités à créer du contenu multimédia directement dans leur navigateur. Cependant, contrairement aux promesses affichées, aucune image ni vidéo n’est générée. À la place, le site propose de télécharger un prétendu fichier multimédia qui s’avère être un exécutable Windows malveillant, dissimulé grâce à des extensions doubles et des caractères Unicode spéciaux.
Ce fichier malveillant, compressé dans une archive ZIP, fonctionne comme un chargeur qui installe un cheval de Troie d’accès à distance (RAT) et un programme de vol de données. Une fois activé, il établit une connexion avec un serveur de type commande et contrôle, permettant aux pirates d’accéder à distance au système infecté et de dérober des informations sensibles.
Le malware, identifié comme PureHVNC RAT, possède des fonctions avancées de surveillance et de vol de données. Il peut capturer les mots de passe stockés dans les navigateurs, les jetons de session et d’autres informations confidentielles. Le logiciel surveille également l’ouverture de fenêtres correspondant à des banques ou des portefeuilles de cryptomonnaies pour effectuer des captures d’écran.
Pour éviter la détection, le malware surveille la présence d’outils d’analyse comme Wireshark ou OllyDbg, modifie le registre Windows pour assurer sa persistance et s’injecte dans des processus système.
Check Point a identifié au moins 70 publications provenant de fausses pages Facebook imitant Kling AI. L’identité exacte des responsables reste inconnue, mais plusieurs indices suggèrent une origine vietnamienne, notamment certains éléments présents sur les sites frauduleux et dans les publicités.
Cette technique d’utilisation de la publicité malveillante sur Facebook pour distribuer des logiciels de vol de données est une tactique éprouvée des groupes de cybercriminels vietnamiens. Ces derniers exploitent de plus en plus la popularité des outils d’IA générative pour diffuser leurs programmes malveillants.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
