仿冒Kling AI网站诱骗用户下载信息窃取恶意软件
关键要点
AI媒体生成是2025年互联网使用的重要趋势。Kling AI是一个广泛使用的平台,自2024年6月推出以来已拥有600万用户。
威胁行为者模仿Kling AI,通过伪造的Facebook页面和付费广告将流量引导至逼真的虚假网站。
用户在此虚假网站上提交文本提示或图像后,会生成一个看似无害的媒体文件,其文件名使用韩文字符填充来隐藏可执行文件。
在某些情况下,可执行文件的加载器使用.NET Native AOT编译进行隐蔽。执行后会安装具有监控功能的信息窃取器。
此活动具有全球范围,受害者报告来自多个地区,尤其是在亚洲。
介绍
2025年初,Check Point Research (CPR) 开始追踪一个威胁活动,该活动滥用AI内容生成平台日益增长的流行度,通过冒充合法的AI驱动图像和视频合成工具Kling AI。通过Facebook广告推广,该活动将用户引导至Kling AI网站的逼真仿冒版本,访客被邀请直接在浏览器中创建AI生成的图像或视频。
该网站不提供媒体文件,而是提供恶意的"图像或视频输出"供下载。这些文件带有如.mp4或.jpg的扩展名,但实际上是通过双扩展名和韩文字符填充来伪装Windows可执行文件,以在文件系统和文件对话框中掩盖其真实性质。
期望预览生成视频的用户反而无意中启动了一个加载器。在多个实例中,此可执行文件利用.NET Native AOT(提前编译)编译来复杂化分析并规避许多传统检测技术。一旦执行,加载器会暂存并部署后续有效载荷——主要是信息窃取器,以窃取浏览器存储的凭据、会话令牌和其他敏感数据。
在我们的报告中,我们详细介绍了该活动的端到端杀伤链——从初始诱饵到有效载荷执行——并重点关注用于文件伪装、混淆和分阶段交付的技术机制。我们分析了加载器的内部结构和行为特征,并强调了用于利用生成AI工作流程信任的演变技术。
感染链
该活动始于2025年初,使用从社交媒体恶意广告开始的感染链。迄今为止,我们识别了大约70个来自冒充Kling AI的虚假社交媒体页面的推广帖子。
虚假Facebook页面包含带有文本和媒体的帖子,以及指向虚假AI生成网站(例如klingaimedia[.]com)的链接,这些网站设计得像"Kling AI"工具的真实版本。
当用户访问虚假AI网页时,他们需要执行与图像相关的操作,例如将图像上传到子页面之一(图像、效果等),单击"生成"按钮,然后等待AI工具生成结果。
生成的结果是一个包含单个.exe文件的zip存档。但是,解压缩后的文件名长度为292字节。在十六进制编辑器中查看时,每个空格字符由三个字节0xE3 0x85 0xA4表示,这是韩文字符填充的UTF-8十六进制编码。
在默认的Windows资源管理器视图中,此文件由于其欺骗性名称(Generated_Image_2025_97607092.jpg …)而呈现为图像,省略号(…) subtly暗示文件名比显示的更长。尽管看起来像媒体文件(甚至显示类似图像的图标),但"类型"列明确将此文件分类为"应用程序",暴露其作为可执行文件的真实性质。这是文件名伪装的经典案例,利用长文件名在一瞥间向用户隐藏危险文件类型。
虽然我们观察到不同类型的第一阶段加载器,但大多数是用.NET开发的。这些加载器的目的是避免在虚拟环境中运行,建立持久性并执行第二阶段有效载荷的远程注入。
一个用.NET编写的加载器值得注意,因为它使用Native AOT格式编译,导致文件不包含CIL(公共中间语言)代码,仅包含机器代码。文件大小应为几MB,但通过附加数十MB的无用数据而膨胀。有效或无效的签名也经常附加到二进制文件。
开发人员未能成功覆盖所有痕迹,加载器中可见一些有趣的字符串:
|
|
此特定加载器采用多种反分析技巧, notably通过监控分析工具如Wireshark、OllyDbg、Procmon、ProcExp、PeStudio、Fiddler等。为了持久性,加载器在注册表中设置运行键,并将其加载器文件复制到%APPDATA%\Local目录中的硬编码路径。建立持久性后,它将第二阶段注入硬编码的合法系统进程,如InstallUtil.exe、AddInProcess32.exe或CasPol.exe以规避检测。
逆向工程Native AOT二进制文件可能具有挑战性。然而,借助如Washi1337的Ghidra插件等工具,可以自动将字符串注释添加到反编译视图中。
从图10可以看出,字符串"$antivt"(反虚拟)在加载器的硬编码配置("$startup,antivt,antiprocesshacker")中搜索,如果找到,加载器测试是否在虚拟环境中运行。
接下来,加载器检查相关参数的存在:"$startup"(复制到%APPDATA%\\Local,设置运行注册表持久性)、"$melt"(又名自删除)和"$persistence"(带有无限循环的批处理文件,如果不存在,每分钟重新启动加载器)。如果配置中存在,则执行相应的方法。成功通过所有检查后,最后一个功能是注入进程。
加载器定义了属于分析过程的19个名称数组($antiprocesshacker)。如果发现任何这些程序在内存中运行,加载器立即退出并不运行下一阶段。
阶段2 – PureHVNC RAT + 窃取器
第二阶段也用.NET编写,通常使用.NET Reactor进行混淆。去混淆后,PureHVNC远程访问木马(RAT)是主要有效载荷。
我们分析的所有第二阶段样本都是DLL文件,只有一个公共类和恰好一个公共静态方法——预期的入口点。运行此方法不需要任何参数。我们发现类和方法的名称因样本而异。在某些样本中,此方法的DeclaringType包括对PureHVNC远程访问木马(RAT)的引用,例如PureHVNC_Lib.Iterators.IteratorExecutor。
最重要的信息是如下所示的编码配置:
解码和解压缩(gzip)配置blob后,我们可以立即看到C2(命令和控制)IP地址、活动ID以及其他信息,如编码的嵌入式证书。
在我们的研究中,我们观察到几个不同的活动ID:
|
|
从活动ID名称可以看出,一些包含日期,可能是该特定子活动开始的日期。其他可能包括关键字’test’,表明行为者正在测试新版本。
以MIIE开头的Base64编码字符串(解码配置blob的一部分)表示嵌入式证书;CN = Byzdmq。
RAT还实现了广泛的窃取功能,包括监控许多浏览器扩展:
|
|
上述浏览器扩展可能基于安装的基于Chromium的浏览器安装在不同的目录中。下面的列表显示了目标浏览器:
|
|
RAT还监控与以下程序相关的路径/注册表键。这些是独立程序,而不是浏览器扩展。
|
|
插件 – PluginWindowNotify
PureHVNC有几个不同的插件。在我们的研究中,我们只观察了其中一个,名为PluginWindowNotify的插件,它监控前台窗口并截取屏幕截图。
对其代码的分析揭示了插件的主要职责:监控打开的窗口,获取它们的标题,如果发现标题中有有趣的关键字,则截取屏幕截图并通知其操作员。
毫不奇怪,此插件不会通知操作员所有窗口。它包含一个"有趣"关键字(加密货币钱包、银行)列表,只有这些关键字会报告回操作员。监控的窗口标题列表如下所示。
|
|
演变
在搜索先前冒充Kling AI的恶意广告活动时,我们发现了几个可疑的、外观相似的网站。
|
|
大多数网站在我们调查时已经关闭。然而,两个仍然活跃的网站需要受害者类似的交互行为。在aikling[.]ai的情况下,加载器还生成了具有类似命名约定的有效载荷。这两个仍然活跃的活动分发ScreenConnect,并先前由安全研究人员报告。
|
|
归因
Facebook恶意广告和分发信息窃取器一段时间以来一直是越南威胁行为者的最爱技术。分析其他LLM/AI主题恶意广告活动的研究人员还报告恶意软件包含越南语的变量或字段名称,如这里和这里所述。
毫不奇怪,此当前活动包括几个越南语的引用(如调试消息)。
一些广告商在越南指定他们的位置,并包括越南手机号码。在某些情况下,受益人和付款人具有越南名称。
防护
Check Point Harmony Endpoint和Threat Emulation提供对攻击策略、文件类型和操作系统的全面覆盖,并保护免受本报告中描述的 attacks 和威胁。
IOCs
阶段1 – 加载器 (SHA-256):
|
|
阶段2 – PureHVNC (SHA-256):
|
|
插件 (SHA-256):
|
|
虚假网站 + 虚假Facebook页面:
|
|
C2 IPs:
|
|