Nep-AI-videotooladvertenties op Facebook en LinkedIn verspreiden infostealers

Mandiant Threat Defense brengt een campagne aan het licht waarbij de in Vietnam gevestigde groep UNC6032 gebruikers misleidt met schadelijke advertenties op sociale media voor neppe AI-videotools. Zo worden inloggegevens en creditcardgegevens gestolen.

Mandiant Threat Defense heeft een grootschalige cybercrimeoperatie ontdekt die inspeelt op de publieke belangstelling voor nieuwe AI-tools . Een groep genaamd UNC6032, vermoedelijk gevestigd in Vietnam, misleidt mensen met nepadvertenties op sociale media die eruitzien alsof ze populaire AI-videogenerators zoals Luma AI en Canva Dream Lab promoten.

Volgens onderzoek van Mandiant, gedeeld met Hackread.com, plaatst UNC6032 sinds medio 2024 misleidende advertenties op platforms zoals Facebook en LinkedIn. Deze advertenties verwijzen gebruikers door naar nepwebsites die AI-videogeneratiediensten lijken aan te bieden.

Deze sites downloaden echter heimelijk schadelijke software, waaronder infostealers en backdoors , die gevoelige informatie zoals inloggegevens en persoonlijke gegevens stelen. De gestolen gegevens worden waarschijnlijk verkocht op illegale online markten.

Dit type aanval is een grote zorg voor iedereen, van particulieren tot grote bedrijven. Volgens het M-Trends 2025-rapport van Mandiant zijn gestolen inloggegevens zelfs de op één na belangrijkste manier waarop cybercriminelen systemen binnendringen. Mandiant heeft duizenden van deze advertenties gevonden, die miljoenen gebruikers bereiken, en vermoedt dat soortgelijke campagnes actief zijn op andere socialemediasites.

Een specifieke aanval die Mandiant onderzocht, begon bijvoorbeeld met een Facebook-advertentie voor Luma Dream AI Machine. Wanneer een gebruiker op "Start nu gratis" klikte, werd hij door een reeks stappen geleid die een echt AI-videocreatieproces nabootsten.

Na een laadbalk verscheen een downloadknop, die vervolgens de schadelijke software installeerde in plaats van een video. De bestanden maakten gebruik van een truc met verborgen tekens en een vals .mp4-icoontje om onschadelijk te lijken, maar het waren in werkelijkheid gevaarlijke uitvoerbare bestanden.

De schadelijke software die bij deze aanvallen wordt gebruikt, en die Mandiant aanduidt als STARKVEIL, is een complex programma geschreven in Rust . Het kan valse foutmeldingen weergeven om gebruikers ertoe te verleiden het programma opnieuw te openen. De software plaatst vervolgens andere gevaarlijke tools zoals XWORM , FROSTRIFT backdoors en de GRIMPULL-downloader.

Met deze tools kunnen aanvallers de computer besturen, meer informatie stelen, toetsaanslagen registreren en controleren op beveiligingssoftware. GRIMPULL kan bijvoorbeeld de Tor-browser downloaden en uitvoeren om verbinding te maken met de verborgen servers van criminelen. XWORM stuurt de gestolen informatie zelfs via Telegram naar de aanvallers.

Volgens de blogpost van Mandiant Threat Defense werkt het bedrijf samen met Meta en LinkedIn om deze campagne te bestrijden. Hoewel Meta veel van deze advertenties heeft verwijderd, verschijnen er dagelijks nieuwe. Deze aanhoudende dreiging vereist constante samenwerking binnen de techsector om gebruikers te beschermen.

Yash Gupta, Senior Manager bij Mandiant Threat Defense, waarschuwt dat "goed ontworpen websites die zich voordoen als legitieme AI-tools een bedreiging kunnen vormen voor iedereen... Gebruikers moeten voorzichtig zijn met ogenschijnlijk onschuldige advertenties."

Het is een feit dat AI-tools steeds populairder worden en cybercriminelen zullen deze interesse blijven uitbuiten. Gebruikers wordt aangeraden voorzichtig te zijn bij het uitproberen van nieuwe AI-tools en het websiteadres te controleren voordat ze ermee aan de slag gaan.