Im digitalen Zeitalter gewinnen soziale Medien immer mehr an Bedeutung und dienen nicht nur der Kommunikation, sondern auch als Plattform für Werbung und Vertrieb verschiedenster Produkte und Dienstleistungen. Leider nutzen Cyberkriminelle diese Entwicklung ebenfalls gezielt aus. Ein aktuelles Beispiel zeigt, wie eine Fake-Werbekampagne auf Facebook in Verbindung mit der populären KI-Plattform Kling AI gefährliche Malware an über 22 Millionen Nutzer zu verbreiten versucht. Diese Angriffe sind ein Warnsignal dafür, wie gefährlich die Kombination aus Social Engineering und hochentwickelter Schadsoftware sein kann. Die Hintergründe und Mechanismen dieser Kampagne geben Aufschluss darüber, wie Verbraucher sich schützen können und warum erhöhte Wachsamkeit nötig ist.
Kling AI selbst ist eine legitime, von Kuaishou Technology aus China entwickelte Plattform, die seit Juni 2024 verfügbar ist. Sie ermöglicht es Nutzern, mithilfe künstlicher Intelligenz Bilder und Videos aus Text- oder Bildvorgaben zu erstellen. Die hohe Nutzerzahl von über 22 Millionen im April 2025 zeigt die Popularität des Dienstes. Genau diese Bekanntheit machen sich Cyberkriminelle zunutze, indem sie gefälschte Facebook-Seiten und Anzeigen erstellen, die als Kling AI erscheinen, um Nutzer auf gefälschte Websites weiterzuleiten. Dort werden die Opfer mit der vermeintlichen Möglichkeit gelockt, AI-generierte Medien direkt im Browser zu erstellen – in Wirklichkeit wartet jedoch eine perfide Falle.
Die verwendeten gefälschten Webseiten wie klingaimedia.com und klingaistudio.com wirken auf den ersten Blick professionell und verlockend. Sie bieten die Option an, ein Bild oder Video zu generieren, allerdings ist hinter dem Angebot in Wahrheit eine Schadsoftware versteckt. Die Malware ist als Windows-Programm getarnt und nutzt raffinierte Techniken, um ihre wahre Natur zu verschleiern.
Dazu erfolgen beispielsweise doppelte Dateiendungen und der Einsatz von speziellen Unicode-Zeichen, den sogenannten Hangul Filler Characters, die die Datei schwerer erkennbar machen. Nach dem Download erhalten die Nutzer eine ZIP-Datei, welche eine sogenannte Loader-Komponente beinhaltet. Dieser Loader startet einen Remote-Access-Trojaner (RAT) und einen sogenannten Stealer.Der RAT ermöglicht es den Angreifern, die volle Kontrolle über das angegriffene System zu übernehmen. Die Schadsoftware baut eine Verbindung zu einem Command-and-Control-Server (C2) auf und übermittelt dabei sensible Informationen, darunter Browser-Credentials, Sitzungs-Tokens und weitere persönliche Daten.
Besonders kritisch ist die Fähigkeit von PureHVNC, einem der genutzten RATs, gezielt Daten aus Erweiterungen von Kryptowährungs-Wallets zu extrahieren, die auf Chromium-basierten Browsern installiert sind. Dies kann zu erheblichen finanziellen Verlusten für die Opfer führen. Darüber hinaus kann die Malware Screenshots erstellen, sobald Fenstertitel von Bankseiten oder Wallets geöffnet werden. Aufgrund dieser Funktionalität stellt sie eine unmittelbare Bedrohung für die digitalen Vermögenswerte der Nutzer dar.Um ihre Anwesenheit zu verschleiern, verändert die Malware die Windows-Registry, um dauerhaft auf dem System zu bleiben und sich nach einem Neustart automatisch wieder auszuführen.
Sie prüft zudem, ob Analysewerkzeuge wie Wireshark, OllyDbg oder Fiddler aktiv sind, und versucht, diese zu umgehen. Die zweite Schadsoftware-Etage wird in legitime Systemprozesse wie „CasPol.exe“ oder „InstallUtil.exe“ eingeschleust, um der Entdeckung durch Sicherheitssoftware zu entgehen. Solche Techniken zeichnen äußerst professionelle Bedrohungsakteure aus, die mit hohem technischem Aufwand arbeiten.
Bis April 2025 waren mindestens 70 Facebook-Werbeanzeigen und Seiten identifiziert worden, die den Kling-AI-Namen missbrauchen. Die Herkunft der Angreifer ist unklar, doch Hinweise deuten auf Vietnam als Ausgangspunkt dieser Kampagne. Diese Vermutung wird unter anderem dadurch gestützt, dass vietnamesische Cyberkriminelle bereits zuvor ähnliche Schadsoftware-Kampagnen durchgeführt haben und Fake-Ads mit AI-Bezug verstärkt nutzen, um Nutzer zu täuschen.Die Verbreitung von Malware durch sogenannte Malvertising-Kampagnen über Facebook und andere Social-Media-Plattformen ist kein neues Phänomen. Doch das hohe Interesse und der Hype rund um generative KI-Werkzeuge erhöhen den Nährboden für Manipulationen.
Social Engineering in Kombination mit ausgeklügelter Schadsoftware wird dadurch immer gefährlicher. Nutzer werden in Präsenzen mit vertrauenswürdig erscheinenden Namen gelockt, nur um dann mit Schadcodes konfrontiert zu werden.Meta, das Unternehmen hinter Facebook, kämpft aktuell mit einer „Epidemie von Betrugsmaschen“, die von verschiedensten Akteuren weltweit ausgeführt werden. Nicht nur gefälschte KI-Tools, sondern auch freche Jobangebote, angebliche Gewinnspiele und Sketchy-Ads zielen auf das Vertrauen der Nutzer ab. Neben Vietnam sind auch China, Sri Lanka und die Philippinen als Ursprung vieler Betrugsseiten bekannt.
Darüber hinaus erreichen Betrugsnetzwerke junge Menschen in Ländern wie Indonesien, indem sie vermeintliche Stellenanzeigen auf sozialen Plattformen platzieren und diese in betrügerische Investment- und Scam-Komplexe schleusen.Die Kombination aus der hohen Popularität von KI-Tools und professionellen Cyberangriffen stellt eine erhöhte Gefahr im digitalen Alltag dar. Für die Nutzer heißt das, sich nicht nur auf offizielle Plattformen zu verlassen, sondern selbst laufend kritisch zu prüfen, ob Links und Angebote vertrauenswürdig sind. Insbesondere das Herunterladen von ausführbaren Dateien aus ungesicherten oder unbekannten Quellen sollte strikt vermieden werden. Die Nutzung von Antivirussoftware mit aktuellsten Signaturen und das regelmäßige Einspielen von Sicherheitsupdates bieten einen Grundschutz.
Für Unternehmen ergeben sich darüber hinaus Konsequenzen im Bereich der Cybersecurity, denn der Missbrauch von Social Media als Angriffskanal erfordert neue Strategien für Monitoring und Schutzmaßnahmen. Sensibilisierungskampagnen gegenüber Mitarbeitenden und die Implementierung von Schutzmechanismen gegen Social-Engineering-Angriffe sind dabei zentral. IT-Sicherheitsverantwortliche sollten zudem die Erkennung von ungewöhnlichen Netzwerkverbindungen und Registry-Änderungen forcieren, um frühzeitig auf Kompromittierungen reagieren zu können.Die Angriffsmethoden, die hinter den Fake-Kling-AI-Werbungen stehen, zeigen außerdem den Trend, dass Cyberkriminelle zunehmend legitime Hypes und Technologien missbrauchen, um ihre Opfer zu täuschen. Für die Zukunft ist zu erwarten, dass solche Phishing- und Malware-Kampagnen weiter zunehmen und sich durch den Einsatz künstlicher Intelligenz auch technisch weiterentwickeln werden.
Letztlich liegt es an jedem einzelnen Nutzer, sich vor solchen Gefahren zu schützen und wachsam zu bleiben. Das Erkennen von Fake-Seiten und gefälschten Anzeigen erfordert ein gesundes Misstrauen, vor allem wenn ungewöhnliche Anforderungen wie das Herunterladen von Dateien gestellt werden. Nur so kann die Verbreitung derartiger Malware gestoppt und der persönliche Schutz verbessert werden. Gleichzeitig müssen Technologieanbieter und Plattformbetreiber ihre Systeme weiter verbessern, um gefälschte Ads und betrügerische Seiten schneller zu identifizieren und zu entfernen.Die aktuelle Kampagne gegen Nutzer von Kling AI Facebook-Werbungen ist ein eindrucksvolles Mahnmal für die weiter zunehmende Bedrohung durch ausgeklügelte Social-Media-Malware-Kampagnen.
Sie zeigt, dass sowohl technische Abwehr als auch aufgeklärte Nutzerbasis unverzichtbar sind, um im komplexen Bedrohungsumfeld der digitalen Welt sicher zu bleiben.
