Νέα επικίνδυνη δραστηριότητα από τους χάκερ της FIN7: Δημιουργία ιστοσελίδων deepfake με γυμνές φωτογραφίες για τη διάδοση κακόβουλου λογισμικού

Η περιβόητη ομάδα hacking APT γνωστή ως FIN7 έχει ξεκινήσει ένα δίκτυο ψεύτικων ιστότοπων δημιουργίας deepnude με τεχνητή νοημοσύνη για να μολύνει τους επισκέπτες με κακόβουλο λογισμικό που κλέβει πληροφορίες.

Το FIN7 πιστεύεται ότι είναι μια ρωσική ομάδα hacking που διενεργεί οικονομική απάτη και έγκλημα στον κυβερνοχώρο από το 2013, με δεσμούς με συμμορίες ransomware, όπως το DarkSide, το BlackMatter και το BlackCat, που διεξήγαγαν πρόσφατα μια απάτη εξόδου αφού έκλεψαν μια πληρωμή λύτρων 20 εκατομμυρίων δολαρίων UnitedHealth.

Το FIN7 είναι γνωστό για τις εξελιγμένες επιθέσεις phishing και κοινωνικής μηχανικής του, όπως η πλαστοπροσωπία του BestBuy για αποστολή κακόβουλων κλειδιών USB ή η δημιουργία μιας ψεύτικης εταιρείας ασφαλείας για να προσλαμβάνει διεισδυτές και προγραμματιστές για επιθέσεις ransomware χωρίς να το γνωρίζουν.

Επομένως, δεν αποτελεί έκπληξη το γεγονός ότι έχουν πλέον συνδεθεί με ένα περίπλοκο δίκτυο ιστότοπων που προωθούν γεννήτριες deepnude με τεχνητή νοημοσύνη και ισχυρίζονται ότι δημιουργούν ψεύτικες γυμνές εκδόσεις φωτογραφιών ντυμένων ατόμων.

Η τεχνολογία ήταν αμφιλεγόμενη λόγω της βλάβης που μπορεί να προκαλέσει στα άτομα δημιουργώντας μη συναινετικές σαφείς εικόνες, και μάλιστα έχει τεθεί εκτός νόμου σε πολλά μέρη στον κόσμο. Ωστόσο, το ενδιαφέρον για αυτή την τεχνολογία παραμένει έντονο.

Ένα δίκτυο γεννητριών deepnude

Οι ψεύτικες ιστοσελίδες deepnude του FIN7 χρησιμεύουν ως honeypot για άτομα που ενδιαφέρονται να δημιουργήσουν deepfake γυμνά διασημοτήτων ή άλλων ανθρώπων. Το 2019, οι φορείς απειλών χρησιμοποίησαν ένα παρόμοιο δέλεαρ για να διαδώσουν κακόβουλο λογισμικό κλοπής πληροφοριών ακόμη και πριν από την έκρηξη της τεχνητής νοημοσύνης.

Το δίκτυο των γεννητριών deepnude λειτουργεί με την ίδια επωνυμία «AI Nude» και προωθείται μέσω τακτικών SEO black hat για να κατατάσσει τους ιστότοπους ψηλά στα αποτελέσματα αναζήτησης.

Σύμφωνα με Silent Pushτο FIN7 λειτουργούσε απευθείας τοποθεσίες όπως το “aiNude[.]αι», «easynude[.]ιστοσελίδα», και nude-ai[.]pro”, η οποία προσέφερε “δωρεάν δοκιμές” ή “δωρεάν λήψεις”, αλλά στην πραγματικότητα απλώς διέδιδε κακόβουλο λογισμικό.

Όλοι οι ιστότοποι χρησιμοποιούν παρόμοιο σχεδιασμό που υπόσχεται τη δυνατότητα δημιουργίας δωρεάν εικόνων βαθιάς γυμνής τεχνητής νοημοσύνης από οποιαδήποτε μεταφορτωμένη φωτογραφία.

Οι ψεύτικοι ιστότοποι επιτρέπουν στους χρήστες να ανεβάζουν φωτογραφίες που θα ήθελαν να δημιουργήσουν βαθιά ψεύτικα γυμνά. Ωστόσο, αφού γίνει το υποτιθέμενο “deepnude”, δεν εμφανίζεται στην οθόνη. Αντίθετα, ο χρήστης καλείται να κάνει κλικ σε έναν σύνδεσμο για λήψη της εικόνας που δημιουργήθηκε.

Με αυτόν τον τρόπο θα μεταφερθεί ο χρήστης σε έναν άλλο ιστότοπο που εμφανίζει έναν κωδικό πρόσβασης και έναν σύνδεσμο για ένα αρχείο που προστατεύεται με κωδικό πρόσβασης που φιλοξενείται στο Dropbox. Ενώ αυτός ο ιστότοπος είναι ακόμα ζωντανός, ο σύνδεσμος Dropbox δεν λειτουργεί πλέον.

Ωστόσο, αντί για μια βαθιά γυμνή εικόνα, το αρχείο του αρχείου περιέχει το κακόβουλο λογισμικό κλοπής πληροφοριών Lumma Stealer. Όταν εκτελεστεί, το κακόβουλο λογισμικό θα κλέψει διαπιστευτήρια και cookies που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού, πορτοφόλια κρυπτονομισμάτων και άλλα δεδομένα από τον υπολογιστή.

Το Silent Push είδε επίσης ορισμένους ιστότοπους που προωθούν ένα πρόγραμμα δημιουργίας deepnude για Windows που θα ανέπτυξε αντί αυτού το Redline Stealer και το D3F@ck Loader, τα οποία χρησιμοποιούνται επίσης για την κλοπή πληροφοριών από παραβιασμένες συσκευές.

Και οι επτά ιστότοποι που εντοπίστηκαν από το Silent Push έκτοτε καταργήθηκαν, αλλά οι χρήστες που ενδέχεται να έχουν κατεβάσει αρχεία από αυτούς θα πρέπει να θεωρούν ότι έχουν μολυνθεί.

Άλλες καμπάνιες FIN7

Το Silent Push εντόπισε επίσης παράλληλες καμπάνιες FIN7 που απορρίπτουν το NetSupport RAT μέσω ιστότοπων που προτρέπουν τους επισκέπτες να εγκαταστήσουν μια επέκταση προγράμματος περιήγησης.

Σε άλλες περιπτώσεις, το FIN7 χρησιμοποιεί ωφέλιμα φορτία που φαίνεται να πλαστογραφούν γνωστές μάρκες και εφαρμογές όπως Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming και PuTTY.

Αυτά τα ωφέλιμα φορτία ενδέχεται να διανεμηθούν στα θύματα χρησιμοποιώντας τακτικές SEO και κακόβουλες διαφημίσεις, εξαπατώντας τα να κατεβάσουν προγράμματα εγκατάστασης με trojanized.

Το FIN7 εκτέθηκε πρόσφατα επειδή πούλησε το προσαρμοσμένο εργαλείο δολοφονίας EDR “AvNeutralizer” σε άλλους εγκληματίες του κυβερνοχώρου, στοχεύοντας το προσωπικό πληροφορικής των κατασκευαστών αυτοκινήτων σε επιθέσεις phishing και ανάπτυξη Cl0p ransomware σε επιθέσεις εναντίον οργανισμών.