Campanha imita o Kling AI, usa nomes de arquivo com Hangul Filler para esconder executáveis do Windows e entrega payloads .NET com persistência, injeção remota e recursos de roubo de credenciais.
| Componente | Sites falsos que imitam fluxos de geração de mídia por IA associados ao Kling AI, páginas falsas no Facebook, loaders Windows em .NET e payload de segundo estágio PureHVNC. |
| Vetor | Malvertising em Facebook leva usuários a páginas falsas nas quais o envio de imagem ou prompt resulta em um arquivo ZIP com executável disfarçado por extensão dupla, nome longo e caracteres Hangul Filler. |
| Impacto | Execução do loader pode instalar persistência, evitar ambientes de análise, injetar o segundo estágio em processos legítimos e habilitar coleta de credenciais de navegador, tokens de sessão, capturas de tela e monitoramento de janelas. |
| Prioridade | Bloquear domínios de imitação conhecidos, impedir execução de downloads de origem publicitária, caçar executáveis com nomes de mídia anormalmente longos e revisar endpoints com chaves Run e artefatos em %APPDATA%\Local. |
| Artefatos | klingaimedia[.]com, aikling[.]ai, arquivos .zip contendo .exe, nomes semelhantes a Generated_Image_2025_97607092.jpg ..., uso de .NET Native AOT, .NET Reactor e PureHVNC. |
| Processos | A cadeia observada injeta segundo estágio em processos legítimos codificados no loader, incluindo InstallUtil.exe, AddInProcess32.exe e CasPol.exe. |
Uma campanha de malvertising explora a confiança de usuários em ferramentas de geração de mídia por IA para induzir a execução de malware no Windows. A operação usa páginas falsas em redes sociais e anúncios pagos que direcionam vítimas para sites que simulam uma experiência legítima de geração de imagem ou vídeo. O fluxo visual pede que o usuário envie uma imagem, selecione uma ação relacionada a efeitos ou geração de mídia e aguarde um suposto resultado. O arquivo entregue, porém, não é uma imagem nem um vídeo funcional: o resultado vem em um arquivo ZIP que contém um executável do Windows mascarado como mídia.
A técnica central de engano está no nome do arquivo. O executável usa extensões como .jpg ou .mp4 no trecho visível do nome, combina extensão dupla, comprimento anormal e caracteres Hangul Filler codificados em UTF-8 como 0xE3 0x85 0xA4. Em visualizações comuns do Windows Explorer, essa composição empurra a extensão real para fora da área imediatamente visível e faz o arquivo parecer um item de mídia. O próprio Windows ainda classifica o objeto como aplicativo na coluna de tipo, mas o desenho do ataque aposta em usuários que clicam no resultado esperado sem inspecionar o metadado do arquivo.
Após a execução, o primeiro estágio atua como loader. Foram observadas variantes em .NET, incluindo amostras compiladas com .NET Native AOT, o que remove a presença de CIL tradicional e dificulta análise baseada em rotinas comuns de engenharia reversa para assemblies .NET. Algumas amostras também inflavam o tamanho do binário com dados sem função operacional e anexavam assinaturas válidas ou inválidas. O loader executa verificações contra ambiente virtual e ferramentas de análise, cria persistência e injeta um segundo estágio em processos legítimos do sistema. O segundo estágio analisado é um RAT PureHVNC, normalmente empacotado como DLL .NET obfuscada com .NET Reactor.
A cadeia começa com anúncios e páginas falsas que imitam uma plataforma popular de geração de mídia por IA. Foram identificadas aproximadamente 70 publicações promovidas relacionadas a páginas falsas associadas ao tema Kling AI. O usuário chega a um site de aparência plausível, como klingaimedia[.]com, e é conduzido por um fluxo de uso compatível com uma ferramenta real: envio de imagem, escolha de subpáginas ligadas a imagens ou efeitos, acionamento de um botão de geração e espera pelo suposto resultado. Esse desenho reduz a estranheza do download, porque o arquivo malicioso aparece no momento em que a vítima espera receber uma saída do serviço.
O arquivo entregue é um ZIP com um único .exe. Depois da extração, o nome do executável pode chegar a 292 bytes e contém espaços representados por Hangul Filler, não por espaços ASCII comuns. Essa escolha interfere na forma como o nome é renderizado em diálogos e no gerenciador de arquivos, criando uma janela visual em que a extensão aparente de mídia aparece antes de uma sequência longa de caracteres. O efeito operacional é mascarar um aplicativo como se fosse um arquivo gerado pelo serviço, por exemplo uma imagem com nome iniciado por Generated_Image_2025_97607092.jpg. A presença de reticências na interface indica truncamento, mas esse detalhe é fácil de ignorar durante a interação.
O loader tem funções orientadas a evasão, persistência e execução indireta. Em uma variante .NET compilada como Native AOT, a configuração codificada contém parâmetros como $antivt, $startup, $melt, $persistence e $antiprocesshacker. Quando a opção de antiambiente virtual está presente, o loader testa se está sendo executado em um ambiente de análise. O conjunto antiprocesso lista 19 nomes de ferramentas e encerra a execução caso encontre programas como Wireshark, OllyDbg, Procmon, ProcExp, PeStudio ou Fiddler em memória. Essa decisão impede a continuação da cadeia quando há sinais de inspeção manual ou instrumentação.
A persistência é implementada por cópia do loader para um caminho codificado em %APPDATA%\Local e criação de entrada Run no registro. Há também uma opção de persistência por arquivo batch com laço contínuo, reiniciando o loader a cada minuto se ele não estiver presente. A opção de autoexclusão, indicada por $melt, remove rastros do arquivo inicial em determinadas condições. Depois de passar pelas verificações, o loader injeta o segundo estágio em processos legítimos codificados, como InstallUtil.exe, AddInProcess32.exe ou CasPol.exe, o que reduz a visibilidade direta do payload malicioso e desloca a atividade para processos que podem existir em sistemas Windows normais.
A superfície mais exposta envolve usuários Windows que acessam anúncios de ferramentas de IA em redes sociais e executam arquivos baixados de sites de imitação. O ataque depende de interação humana: a vítima precisa visitar a página falsa, fornecer entrada ao fluxo de geração, baixar o ZIP, extrair o conteúdo e executar o arquivo. A cadeia não descreve exploração remota sem clique nem abuso de uma vulnerabilidade específica do navegador ou do sistema operacional. O risco se concentra em ambientes que permitem downloads de origem não confiável, extração local de arquivos e execução de binários pelo usuário sem bloqueios por reputação, política de aplicação ou inspeção de conteúdo.
O segundo estágio PureHVNC amplia o impacto porque fornece ao operador capacidades de monitoramento e roubo após a execução inicial. A configuração decodificada e descompactada com gzip contém endereço de C2, identificador de campanha e certificado embutido com CN = Byzdmq. Foram vistos identificadores de campanha relacionados a Kling AI, incluindo nomes com datas e rótulos de teste. O RAT monitora extensões de navegador, navegadores baseados em Chromium e programas locais por caminhos e chaves de registro. Também foi observado o plugin PluginWindowNotify, que acompanha janelas em primeiro plano, captura títulos e tira screenshots quando encontra palavras de interesse ligadas a carteiras cripto e bancos.
A atribuição deve ser tratada com limite técnico. A campanha contém referências em vietnamita em mensagens de depuração e há indícios operacionais associados a anunciantes com localização, números de telefone, beneficiários ou pagadores vietnamitas em alguns casos. Esses elementos sustentam uma relação contextual com grupos que já usaram malvertising com tema de IA e LLM para distribuir infostealers, mas não substituem atribuição formal baseada em infraestrutura completa, cadeia de custódia e telemetria independente.
- Usuários Windows que executam arquivos
.exeobtidos a partir de resultados falsos de geração de imagem ou vídeo. - Navegadores Chromium e extensões monitoradas pelo RAT para coleta de credenciais, tokens de sessão e dados sensíveis armazenados.
- Sistemas com permissão para escrita em
%APPDATA%\Locale criação de chaves Run pelo contexto do usuário comprometido.
A detecção deve começar no ponto de entrega, cruzando logs de navegação, proxy, EDR e eventos de download com acessos a páginas de imitação de IA e arquivos ZIP gerados logo após interação com sites recém-registrados ou promovidos por anúncios. Buscas por nomes de arquivo com comprimento incomum, múltiplas extensões e caracteres Unicode invisíveis ou pouco usuais ajudam a separar esse fluxo de downloads legítimos. Em endpoints Windows, a combinação de um arquivo com aparência de .jpg ou .mp4, tipo real de aplicação e origem em diretório de downloads deve ser tratada como sinal de alto valor.
No host, a telemetria relevante inclui criação de processo a partir de diretórios de usuário, execução de binários extraídos de ZIP, cópia subsequente para %APPDATA%\Local, escrita em chaves Run e execução de arquivo batch com laço de reinicialização. Também é importante monitorar encerramento precoce de processos quando ferramentas de análise estão abertas, pois o loader pode abortar a cadeia ao detectar Wireshark, Procmon, ProcExp, Fiddler ou utilitários similares. Embora esse comportamento possa não aparecer em máquinas de usuário final, ele tende a surgir em sandboxes e ambientes de investigação.
A fase de injeção deve ser caçada por relações anormais de processo envolvendo InstallUtil.exe, AddInProcess32.exe e CasPol.exe como alvos ou hospedeiros de código que não corresponde ao uso administrativo esperado. Para o segundo estágio, procure DLLs .NET com apenas uma classe pública e um método public static usado como ponto de entrada, amostras obfuscadas por .NET Reactor, referências a PureHVNC em nomes como PureHVNC_Lib.Iterators.IteratorExecutor e blobs de configuração que, após decodificação e gzip, revelem C2, identificador de campanha e certificado embutido.
- Downloads
.zipseguidos por execução de.execujo nome contém.jpgou.mp4antes de caracteres Unicode e truncamento visual. - Criação ou modificação de chaves Run no registro apontando para arquivos dentro de
%APPDATA%\Local. - Execução inesperada ou injeção em
InstallUtil.exe,AddInProcess32.exeouCasPol.exeiniciada por binário em perfil de usuário. - Processos que encerram a cadeia quando detectam ferramentas como
Wireshark,OllyDbg,Procmon,ProcExp,PeStudioouFiddler. - Atividade de captura de tela ou monitoramento de título de janelas relacionada ao plugin
PluginWindowNotifye a termos de bancos ou carteiras cripto.
A resposta deve remover a oportunidade de execução e reduzir o valor do comprometimento caso um usuário tenha aberto o arquivo. Controles de navegação e DNS devem bloquear domínios de imitação conhecidos, incluindo klingaimedia[.]com e aikling[.]ai, além de novas páginas que reproduzam o mesmo padrão de marca, fluxo de geração e entrega de ZIP. Gateways de e-mail e web proxy devem inspecionar arquivos compactados vindos de sites de IA não aprovados e destacar executáveis com extensão dupla, nomes excessivamente longos ou caracteres Unicode usados para ocultação.
Em endpoints, a prioridade é aplicar política de controle de aplicação para impedir execução de binários de diretórios de download, arquivos temporários e caminhos de usuário quando a origem não for confiável. Regras de EDR podem combinar criação de processo a partir de ZIP extraído, escrita em %APPDATA%\Local, persistência em Run e uso posterior de processos legítimos como alvos de injeção. A mitigação não deve depender apenas de assinatura estática, porque o uso de .NET Native AOT, inflação de binário, assinaturas anexadas e obfuscação em .NET Reactor reduz a efetividade de verificações simples por formato ou metadados.
Quando houver suspeita de execução, a contenção precisa considerar roubo de credenciais e tokens. Isole o endpoint, preserve artefatos do arquivo ZIP, do executável extraído, da cópia persistida e das chaves de registro, colete árvore de processos e conexões de rede associadas, e revise navegadores e extensões usadas pelo usuário. Como o RAT mira credenciais de navegador, tokens de sessão e janelas relacionadas a carteiras cripto e bancos, a rotação de senhas e invalidação de sessões devem cobrir contas acessadas naquele perfil de usuário após a infecção. A análise também deve verificar se houve captura de tela ou monitoramento de janelas por PluginWindowNotify.
No lado de conscientização operacional, a recomendação concreta é tratar qualquer resultado de ferramenta de IA que exija download de executável como bloqueio imediato. Serviços legítimos de geração de mídia podem entregar arquivos de imagem ou vídeo, mas não há justificativa operacional para um .exe ser apresentado como prévia de imagem gerada. A validação deve incluir a coluna de tipo do Windows Explorer, a extensão real, a origem do domínio e a reputação da página que promoveu o link.
- Bloquear
klingaimedia[.]com,aikling[.]aie domínios de imitação que entreguem ZIP após fluxo falso de geração por IA. - Criar regra para arquivos com extensão dupla, nomes anormalmente longos e caracteres Hangul Filler em downloads de usuário.
- Impedir execução de
.exeextraídos de ZIP em diretórios de download, temporários e perfil de usuário. - Remover persistência em chaves Run e arquivos copiados para
%APPDATA%\Localquando confirmados como parte da cadeia. - Invalidar sessões, rotacionar credenciais e revisar contas usadas no navegador do usuário afetado após suspeita de execução.
0 Comentários