Группировка FIN7 создает фальшивые ИИ-генераторы «обнаженки»

По данным специалистов Silent Push, хак-группа FIN7 запустила сеть сайтов с фейковыми ИИ-генераторами контента для взрослых. Посетителей таких ресурсов заражают малварью, которая ворует данные.

Группировка FIN7 (она же Sangria Tempest, Carbon Spider и Carbanak) активна более десяти лет, с 2013 года. Сначала группа занималась PoS-атаками с целью кражи платежных данных, а затем переключилась на взлом крупных компаний, распространяя вымогательское ПО. Так, FIN7 связывали с такими вымогательскими группировками, как DarkSide, BlackMatter и BlackCat.

Обычно FIN7 специализируется на сложных фишинговых и инжиниринговых атаках для получения первичного доступа к корпоративным сетям. К примеру, известен случай, когда хакеры выдавали себя за компанию BestBuy и рассылали вредоносные USB-накопители своим целям.

Теперь же злоумышленников связали с запутанной сетью сайтов, рекламирующих ИИ-генераторы дипнюдсов (deepnudes, откровенных изображений, созданных с помощью ИИ), которые якобы помогают генерировать откровенные фото, беря за основу фотографий одетых людей.

Фальшивые сайты FIN7 служат приманками для людей, заинтересованных в создании дипфейков обнаженных знаменитостей и других людей. Стоит отметить, что похожие уловки для распространения малвари злоумышленники использовали еще в 2019 задолго до глобального ИИ-бума.

Сеть хакеров работает под брендом AI Nude и активно продвигается с помощью методов черного SEO, чтобы сайты фальшивых генераторов занимали высокие позиции в результатах поиска. Все сайты имеют схожий дизайн и обещают бесплатное создание дипнюдсов на основе любой загруженной фотографии.

По информации Silent Push, группировка напрямую управляла такими сайтами, как aiNude[.]ai, easynude[.]website и nude-ai[.]pro, которые предлагали посетителям бесплатные пробные версии и бесплатные скачивания, но на самом деле просто распространяли вредоносное ПО.

Сайты позволяли пользователям загружать любые фото, из которых нужно сделать откровенный дипфейк. Однако после генерации дипнюдса изображение якобы не отображалось на экране. Вместо этого пользователю предлагали перейти по ссылке, чтобы загрузить полученный результат.

В результате жертва попадала на другой сайт, где ей предоставляли ссылку и пароль для доступа к защищенному архиву, размещенному в Dropbox.

Разумеется, вместо откровенной картинки, сгенерированной ИИ, в таком архиве содержится только инфостилер Lumma, который после запуска похищает учетные данные и файлы cookie, сохраненные в браузерах, данные криптовалютных кошельков и прочую информацию с машины жертвы.

Также исследователи обнаружили несколько сайтов, рекламирующих софт для создания дипнюдсов в Windows. Эти ресурсы распространяют стилер Redline и малварь D3F@ck Loader, которые тоже воруют информации со взломанных устройств.

В настоящее время все семь сайтов, обнаруженных специалистами Silent Push, уже удалены.

Помимо фальшивых генераторов нейросетевого порно эксперты обнаружили и другие кампании FIN7, например, распространяющие NetSupport RAT через сайты, где посетителям предлагалось установить расширение для браузера. В других случаях FIN7 использовала полезные нагрузки, замаскированные под известные бренды и приложения, включая продукты Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming и PuTTY.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Хакер», подробнее в Правилах сервиса