在這個短影音爆炸的時代,幾乎每人每天都會滑影片,從抖音、Instagram Reels、YouTube Shorts、X平台等,只需三秒就能決定你會不會將這影片繼續看下去。你會發現,現在的內容創作者越來越全能,從腳本、拍攝、剪接、後製,樣樣都得自己來。但,這對大多數人來說實在太困難了。拍一段幾秒鐘的影片,可能要花上幾個小時,甚至幾天。那在這科技發達,AI技術突飛猛進的時代有沒有辦法更快、更簡單,甚至不用攝影機就能「拍」影片的方法呢?
答案是有的,AI已經幫你準備好了。Kling AI就是其中一個圖片及影片的生成式工具。
那什麼是Kling AI?簡單來說,Kling AI 是一款文字轉影片、圖片轉影片的生成工具,可以將文字描述或圖片提示快速轉換為高質量的影片和圖片。Kling AI 的厲害不只是技術,而是它讓「創作這件事」變得更平易近人,過去要拍一部影片,可能要一整個團隊,現在一人一台電腦、一句話,就能完成原本要幾週才完成的畫面,真的是大大縮短了創作的時間及降低技術門檻。
這麼好的工具吸引了眾多的使用者,也讓駭客看到了機會。駭客藉由Kling AI的熱度,在Facebook上宣傳假的Kling AI內容,導引到假的網頁,而達到散播惡意程式的目的。
以下讓我們來說明一起駭客冒用Kling AI,在Facebook散播惡意程式的事件。
Facebook上出現假冒Kling AI的宣傳廣告及頁面
2025年初到目前為止,資安研究人員發現出約 70 則冒充 Kling AI的虛假社交媒體頁面的廣告貼文,企圖誘導使用者到假冒的Kling AI網站。
在Facebook 找到的Kling AI 主頁也不確定是否為真,雖然有接近35萬人追蹤,單沒有藍勾勾的認證,上面提供的連結(kklingai.com)也與正式連結(klingai.com)不同。
有的Kling AI 仿冒主頁,追蹤數不多且資料不完整,很容易分辨出異常。
誤用假冒Kling AI網站服務被植入惡意程式
點擊Facebook廣告後被引導到假冒的Kling AI網站,網站內容與真實網站內容幾乎一模一樣,很難第一時間發現。
開始上傳圖片並點擊Generate生成內容
點擊DOWNLOAD下載生成檔案
前面說過Kling AI可以將一段文字或是一張圖片生成新的圖片或是影片。生成完的內容需要做一個下載的動作,過程中容易被駭客植入惡意程式。下載的檔案是包含一個exe檔案的zip壓縮包。
exe檔被很巧妙的包裝起來(前方的圖示會讓人覺得這是一個很正常的圖片檔),乍看之下會認為是很正常的檔案,但細心一點還是可以發現後面的Type有異常顯示為Application。
實際的檔案名稱可能為Effects_Generation_20250415.mp4 ….exe或Generated_Image_2025_97607092.jpg ….exe
在沒有發現的情況下點擊exe執行檔後,可能就被駭客植入惡意程式,造成危害。
流程圖:
防範惡意廣告及偽造網站攻擊建議:
● 驗證來源的可靠性,比對網址,目前使用的網站是否為正式的網站。
● 如果是社群媒體上看到的廣告,確認廣告來源的可信度。例如在Facebook上的帳號是否有藍勾勾..等。
● 如果有下載壓縮檔案,解壓縮完後再詳細檢查是否有異常的情況,例如檔名是否有異常,有兩種副檔名在檔明裡,或是預覽圖片與檔案類型不符合,這些都有可能是警訊。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:https://research.checkpoint.com/2025/impersonated-kling-ai-site-installs-malware/
