Falsche Anzeigen für KI-Tools verbreiten Malware

Die Google-Tochter Mandiant hat Angriffe einer vietnamesischen Hackergruppe analysiert, die das öffentliche Interesse an KI-Tools ausnutzt, um in Social Media gefälschte Anzeigen für KI-Videogeneratoren wie Luma AI und Canva Dream Lab zu schalten. Die Anzeigen leiten Nutzer jedoch zu bösartigen Websites weiter, die Schadprogramme verbreiten.

Die Unter dem Namen UNC6032 geführte Gruppe tarnt ihre Aktivitäten, indem die schädlichen Websites die Funktionsweise der KI-Tools imitieren. Doch anstelle der gewünschten KI-generierten Inhalte liefern die Seiten laut Mandiant den Opfern Infostealer und Backdoors. Ziel sei es, Anmeldeinformationen, Kreditkartendaten und andere vertrauliche Informationen zu stehlen.

Die Forscher gehen zudem davon aus, dass die gestohlenen Daten auf Marktplätzen im Darknet angeboten werden. Dies sei sowohl für private Nutzer als auch für Unternehmen ein großes Problem: Laut dem M-Trends Report 2025 von Mandiant sind gestohlene Anmeldedaten der zweithäufigste Vektor für Erstinfektionen.

Der Analyse zufolge identifizierte Mandiant Tausende dieser Anzeigen auf Social-Media-Plattformen wie Facebook und LinkedIn. Der Sicherheitsanbieter geht davon aus, dass ähnliche Kampagnen auch auf anderen Plattformen laufen. In diesem Zusammenhang fordert Mandiant eine langfristige und enge Zusammenarbeit in der Social-Media-Branche, um den Schutz von Nutzern zu erhöhen.

„Bedrohungsakteure entwickeln ihre TTPs (Taktiken, Techniken und Verfahren) ständig weiter. In diesem Fall haben sie sich die Popularität von KI-Tools zunutze gemacht und mit bösartiger Werbung kombiniert“, kommentiert Yash Gupta, Senior Manager bei Mandiant Threat Defense. „Eine gut gestaltete Website, die sich als legitimes KI-Tool tarnt, kann eine Bedrohung für alle darstellen – für Privatpersonen oder auch ganze Unternehmen. Nutzer sollten Vorsicht walten lassen, wenn sie mit scheinbar harmlosen Anzeigen und den Websites, zu denen sie führen, in Kontakt kommen.“