El famoso grupo de hackers APT conocido como FIN7 ha lanzado una red de sitios falsos que generan desnudos profundos impulsados por IA para infectar a los visitantes con malware que roba información.
Se cree que FIN7 es un grupo de hackers ruso que se ha involucrado en fraude financiero y delitos cibernéticos desde 2013, vinculado a bandas de ransomware, como DarkSide, BlackMatter y BlackCat, que recientemente realizaron una estafa de salida después de robar un rescate de 20 millones de dólares a UnitedHealth.
FIN7 es conocido por sus sofisticados ataques de phishing e ingeniería social, como hacerse pasar por BestBuy para enviar unidades USB maliciosas o crear una empresa de seguridad falsa para contratar pentesters y desarrolladores para ataques de ransomware sin su conocimiento.
Por lo tanto, no sorprende que ahora estén vinculados a una compleja red de sitios web que promueven generadores de desnudos profundos impulsados por inteligencia artificial que afirman crear versiones desnudas falsas de fotografías de personas vestidas.
Esta tecnología ha sido controvertida por el daño que puede causar a los sujetos al crear imágenes explícitas y no consentidas, e incluso ha sido prohibida en muchos lugares del mundo. Sin embargo, el interés en esta tecnología sigue siendo fuerte.
Una red de generadores de deepnude
Los sitios falsos de desnudos profundos de FIN7 sirven como trampas para personas interesadas en generar desnudos falsos de celebridades u otras personas. En 2019, los malos actores utilizaron un señuelo similar para difundir malware que roba información incluso antes de la explosión de la IA.
La red generadora de deepnude opera bajo la misma marca «AI Nude» y se promociona mediante tácticas de SEO de sombrero negro para clasificar los sitios en los primeros lugares de los resultados de búsqueda.
De acuerdo a Empuje silenciosoSitios operados directamente por FIN7 como «aiNude[.]ai», «fácil desnudo[.]sitio web», y nu-ai[.]pro”, que ofrecía “pruebas gratuitas” o “descargas gratuitas”, pero en realidad solo propagaba malware.
Todos los sitios utilizan un diseño similar que promete la capacidad de generar imágenes de desnudos profundos con IA gratuitas a partir de cualquier foto cargada.
Los sitios web falsos permiten a los usuarios subir fotos que quieran para crear desnudos falsos. Sin embargo, una vez realizado el llamado «deepnude», este no aparece en pantalla. En cambio, se le solicita al usuario que haga clic en un enlace para descargar la imagen generada.
Esto llevará al usuario a otro sitio que muestra una contraseña y un enlace a un archivo protegido con contraseña alojado en Dropbox. Mientras este sitio aún esté activo, el enlace de Dropbox ya no funciona.
Sin embargo, en lugar de una imagen de desnudo profundo, el archivo contiene el malware de robo de información Lumma Stealer. Una vez ejecutado, el malware robará credenciales y cookies guardadas en navegadores web, billeteras de criptomonedas y otros datos de la computadora.
Silent Push también ha visto algunos sitios promocionando un programa generador de deepnude para Windows que en su lugar implementaría Redline Stealer y D3F@ck Loader, que también se utilizan para robar información de dispositivos comprometidos.
Desde entonces, los siete sitios detectados por Silent Push han sido eliminados, pero los usuarios que hayan descargado archivos de ellos deberían considerarse infectados.
Otras campañas de FIN7
Silent Push también identificó campañas FIN7 paralelas que eliminaban NetSupport RAT a través de sitios web que pedían a los visitantes que instalaran una extensión del navegador.
En otros casos, FIN7 utiliza cargas útiles que parecen falsificar marcas y aplicaciones conocidas como Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming y PuTTY.
Estas cargas útiles se pueden distribuir a las víctimas mediante SEO y tácticas de publicidad maliciosa, engañándolas para que descarguen instaladores troyanos.
FIN7 fue expuesto recientemente por vender su herramienta de destrucción de EDR personalizada “AvNeutralizer” a otros ciberdelincuentes, atacar al personal de TI de los fabricantes de automóviles en ataques de phishing e implementar el ransomware Cl0p en ataques contra organizaciones.