Usan sitios falsos de DeepNude con IA para descargar malware
Según un nuevo informe de Silent Push, el grupo de amenazas con motivación financiera FIN7 está atrayendo a las víctimas a una red de sitios con malware, prometiendo descargas de herramientas deepfake.
El proveedor de seguridad afirmó que FIN7, con sede en Rusia, que ha sido vinculado a múltiples grupos de ransomware, aloja sitios maliciosos en múltiples dominios bajo la "marca aiNude". Están diseñados para atraer a usuarios de Internet que buscan aprovechar herramientas de "deepnude" y deepfake para generar imágenes de desnudos a partir de fotos de personas que suben.
Según Silent Push, FIN7 operaba directamente sitios como que ofrecían "pruebas gratuitas" o "descargas gratuitas", pero en la realidad sólo propagaban malware.
No es sorprendente descubrir que ahora se los ha vinculado a una intrincada red de sitios web que promueven generadores de desnudos impulsados por inteligencia artificial que afirman crear versiones falsas de desnudos de fotos de individuos vestidos. FIN7 creó dos versiones de estos sitios: uno que ofrece descargas gratuitas de una herramienta "Deepnude Generator" y el otro que ofrece una prueba gratuita.
FIN7 alojaba múltiples honeypots de malware bajo la marca "aiNude[.]ai" además de:
- easynude[.]website
- ai-nude[.]cloud
- ai-nude[.]click
- ai-nude[.]pro
- nude-ai[.]pro
- ai-nude[.]adult
- ainude[.]site
Al hacer clic en la oferta de "descarga gratuita", la víctima se redirigirá a un nuevo dominio con un enlace de Dropbox u otra fuente que aloje una carga útil maliciosa, aunque en el informe no queda claro exactamente qué es. Si una víctima hace clic en "prueba gratuita", se le pedirá que cargue una imagen.
Si se carga una imagen, al usuario se le muestra el mensaje 'La prueba está lista para descargar'. Si el usuario acepta la descarga, se le entrega un archivo ZIP con una carga útil maliciosa. Esta otra carga útil de FIN7 es RedLine o un Lumma Stealer más clásico y utiliza una técnica de carga lateral de DLL para su ejecución.
El proveedor también ha observado que FIN7 implementa el malware Redline Stealer y el cargador de malware como servicio D3F@ck a través de esta campaña. Recientemente se expuso que FIN7 también vendía su herramienta personalizada de eliminación de EDR "AvNeutralizer" a otros cibercriminales, atacaba al personal de TI de fabricantes de automóviles en ataques de phishing y desplegaba el ransomware Cl0p en ataques contra organizaciones.
Se cree que el grupo utiliza tácticas de SEO para que sus sitios de IA deepnude se clasifiquen en la parte superior de las listas de búsqueda.
Silent Push también reveló una segunda campaña ejecutada por FIN7, diseñada para distribuir de forma encubierta malware NetSupport RAT a través de sitios similares que requieren que los visitantes instalen una extensión del navegador. Los actores de amenazas atraen a las víctimas a los sitios, que falsifican marcas conocidas como SAP Concur, Microsoft y Thomson Reuters, a través de publicidad maliciosa.
Fuente: SilentPush
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!