1. 仿冒知名AI工具
   攻擊者創建與“Kling AI”高度相似的虛假官網和廣告頁面，利用用戶對AI技術的興趣，宣稱提供“免費AI視頻/圖像生成”服務。用戶點擊廣告后，被引導至惡意下載鏈接，實際獲取的是包含木馬的壓縮包。

2. 多階段感染流程
   用戶下載的ZIP文件（如VideoDreamAI.zip）包含偽裝成視頻編輯工具的惡意程序（如篡改的CapCut版本）。程序運行后，通過隱藏文件夾釋放更多組件，包括：

• 惡意加載器（如CapCut.exe）

• 命令執行模塊（如AICore.dll）

• 密碼保護的壓縮包（需解密密碼：TONGDUCKIEMDEVELOPER2025）
  最終，木馬通過內存加載技術執行Noodlophile Stealer竊密程序和XWorm遠程控制工具，實現持久化駐留。

3. Telegram機器人外泄數據
   竊取的瀏覽器憑證、加密貨幣錢包數據等敏感信息，通過Telegram機器人自動上傳至攻擊者控制的服務器，用戶隱私泄露風險極高。

• 全球傳播范圍：攻擊者通過Facebook廣告系統精準投放，部分虛假廣告單篇瀏覽量超6.2萬次，覆蓋范圍廣泛。

• 目標群體：主要針對AI技術愛好者、小型企業及內容創作者，此類用戶對AI工具需求高，但安全意識相對薄弱。

• 潛在危害：

• 瀏覽器憑證泄露可能導致社交媒體、郵箱等賬號被盜。

• 加密貨幣錢包數據被竊取，直接威脅用戶財產安全。

• XWorm遠程控制工具允許攻擊者完全控制設備，可能用于進一步傳播惡意軟件或發起DDoS攻擊。

1.用戶端防范措施

2.企業端防護策略