Hakerzy Wykorzystują Fałszywe Strony z AI ‚Nudify’ do Rozpowszechniania Złośliwego Oprogramowania

Dzisiaj opublikowany raport 404 Media ujawnia, że sieć stron internetowych opartych na AI o nazwie „nudify”, które rzekomo pozwalają rozbierać zdjęcia za pomocą sztucznej inteligencji, jest faktycznie obsługiwana przez notoryczną rosyjską grupę cyberprzestępczą Fin7.

Te strony internetowe są fasadą do dystrybucji złośliwego oprogramowania, szczególnie mając na celu dane logowania użytkowników i portfele kryptowalut.

Według badaczy z firmy zajmującej się cyberbezpieczeństwem Silent Push, strony Fin7 zostały zaprojektowane tak, aby wyglądać jak inne popularne strony z treściami generowanymi przez AI bez zgody użytkowników.

Jednak zamiast generować zmienione obrazy, zarażają systemy użytkowników RedLine, rodzajem złośliwego oprogramowania znanym z kradzieży wrażliwych informacji z przeglądarek internetowych, jak zauważono w 404 Media.

RedLine to obecnie jedna z najczęściej występujących form złośliwego oprogramowania typu infostealer, według firmy zajmującej się cyberbezpieczeństwem, RecordedFuture, jak donosi 404 Media.

Wyniki podkreślają rosnącą atrakcyjność narzędzi do generowania deepfake’ów za pomocą AI, które teraz są wykorzystywane przez hakerów do zwabienia ofiar.

Fin7, który został powiązany z głównymi atakami cybernetycznymi na terenie USA, wykorzystuje te strony jako nową metodę dystrybucji złośliwego oprogramowania.

Zach Edwards, starszy analityk ds. zagrożeń w Silent Push, powiedział do 404 Media, że te platformy przyciągają określoną grupę demograficzną.

„Szukają ludzi, którzy od początku podejmują działania na granicy legalności, a następnie mają gotowe szkodliwe oprogramowanie do podania tym osobom, które aktywnie szukają czegoś nielegalnego” – wyjaśniła Edwards strategię Fin7.

Ten sposób jest skuteczny – dodała – ponieważ ofiary ze względu na nielegalny charakter swoich działań nie zgłaszają zazwyczaj włamań do władz. Poza tworzeniem pułapek i zwabianiem użytkowników, zarażenie ich wymaga minimalnego wysiłku.

404 Media odkryło, że jedna z witryn prowadzonych przez Fin7 została wymieniona na głównej stronie agregującej treści pornograficzne, co zwiększyło potencjalną bazę ofiar. Strona agregująca, często odwiedzana przez osoby szukające platform do udostępniania obrazów bez zgody, pomogła skierować nieświadomych użytkowników do domen zainfekowanych malware’em przez Fin7.

Na pytania od 404 Media, Hostinger, rejestrator domen dla większości oszukańczych stron, zablokował dostęp do tych domen.

404 Media zwraca uwagę, że Fin7 ma długą historię zaawansowanych ataków cybernetycznych, w tym tworzenia fałszywych firm testujących penetrację, aby oszukać ofiary i skłonić je do hakowania na ich rzecz.

Pomimo roszczeń Departamentu Sprawiedliwości USA w zeszłym roku, że „Fin7 jako jednostka już nie istnieje”, to najnowsze odkrycie potwierdza, że grupa nadal jest aktywna i opracowuje nowe sposoby na złapanie ofiar, jak zauważyło 404 Media.

Edwards przedstawi pełne wyniki badań Silent Push podczas tego tygodnia na konferencji z zakresu cyberbezpieczeństwa Virus Bulletin.