記事本文(要約)
偽のFacebookページや広告を使ってユーザーを偽のKling AIサイトに誘導し、マルウェアをダウンロードさせる攻撃が報告されました。Kling AIは、テキストや画像から画像やビデオを生成するAIプラットフォームで、中国のKuaishou Technologyが開発しています。この攻撃は、Remote Access Trojan(RAT)を含む悪意あるファイルを仕込み、被害者のシステムを遠隔操作し、データを盗むことを目的としています。脅威は、偽のサイトにユーザーを誘導し、ダブル拡張子を使用したWindows実行ファイルをダウンロードさせ、RATを起動してデータを盗みます。これは、主に暗号通貨ウォレットからのデータを狙ったもので、主にベトナムの脅威グループが関与していると見られています。Facebook上でのマルウェア広告手法は、効果的な攻撃戦術となっており、ソーシャルエンジニアリングと高度なマルウェアを組み合わせた手法が見られます。Meta社はFacebookやInstagramでの詐欺激増に対処しており、多くは中国、スリランカ、ベトナム、フィリピンから運営されています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 21 May 2025 17:45:00 +0530
Original URL: https://thehackernews.com/2025/05/fake-kling-ai-facebook-ads-deliver-rat.html
詳細な技術情報
この文章は、偽のFacebookページと広告を利用したマルウェア拡散の事例について説明しています。この攻撃は、Kling AIを装った偽サイトにユーザーを誘導し、マルウェアをダウンロードさせる手法を用いています。Kling AIは、Kuaishou Technologyが開発したAI駆動のプラットフォームで、テキストや画像から画像や動画を生成するサービスを提供しています。
脆弱性の仕組みと攻撃手法
- 偽サイトの利用: 偽のFacebookページと広告でユーザーを騙し、Kling AIを装った偽のウェブサイトへ誘導します。例としてklingaimedia[.]comやklingaistudio[.]comがあります。
- マルウェアのダウンロード: 偽サイトでは、画像や動画を生成するように見せかけて、実際にはマルウェアが含まれた偽のWindows実行ファイルをダウンロードさせます。このファイルはダブル拡張子とハングルフィラーを用いて偽装されています。
- リモートアクセス型トロイの木馬(RAT): ダウンロードしたファイルはZIPアーカイブに含まれ、リモートアクセス型トロイの木馬(PureHVNC RAT)や情報スティーラとして機能し、C2サーバーと通信してブラウザに保存されたクレデンシャルやセッショントークン、その他の機密データを抽出します。
- 持続性の確保とプロセス注入: ローダーはWiresharkやOllyDbgなどの解析ツールを監視し、Windowsレジストリを変更して持続性を確保します。また、「CasPol.exe」や「InstallUtil.exe」などのシステムプロセスにマルウェアを注入して検出を回避します。
- データ盗難とユーザーインターフェースの監視: PureHVNCは、数種類のCryptocurrencyウォレット拡張機能からデータを盗む能力を持ち、銀行やウォレットの関連ウィンドウが開かれた際にスクリーンショットを取るためのプラグインアプローチを採用しています。
潜在的な影響
- 個人データの漏洩: ブラウザに保存されたセッション情報やクレデンシャルが盗まれることで、個人アカウントの不正アクセスを受けるリスクがあります。
- 金融資産の損失: 暗号通貨ウォレットの情報が盗まれることにより、直接の経済的損失につながる可能性があります。
推奨される対策
- 教育と意識向上: マルウェア攻撃の手法に関する教育を行い、ユーザーが怪しいリンクや広告を識別できるようにする。
- セキュリティソフトウェアの利用: 信頼できるアンチウイルスやマルウェア防護ソフトをインストールし、最新の定義ファイルに更新する。
- 二要素認証の活用: 重要なアカウントには二要素認証を設定し、アカウント侵入のリスクを低減する。
- ソーシャルメディアの設定確認: ソーシャルメディアプラットフォームのプライバシー設定を見直し、不審な接触を避ける。
- 定期的なセキュリティチェック: システムやブラウザの設定を定期的に確認し、未知の拡張機能やアプリケーションがインストールされていないか監視する。
