Le célèbre groupe de piratage APT connu sous le nom de FIN7 a lancé un réseau de faux sites générateurs deepnude alimentés par l’IA pour infecter les visiteurs avec des logiciels malveillants voleurs d’informations.
FIN7 serait un groupe de piratage informatique russe qui mène des fraudes financières et de la cybercriminalité depuis 2013, avec des liens avec des gangs de ransomwares, tels que DarkSide, BlackMatter et BlackCat, qui ont récemment mené une escroquerie de sortie après avoir volé un paiement de rançon UnitedHealth de 20 millions de dollars.
FIN7 est connu pour ses attaques sophistiquées de phishing et d’ingénierie sociale, telles que l’usurpation d’identité de BestBuy pour envoyer des clés USB malveillantes ou la création d’une fausse société de sécurité pour embaucher des pentesters et des développeurs pour des attaques de ransomware à leur insu.
Il n’est donc pas surprenant de constater qu’ils ont maintenant été liés à un réseau complexe de sites Web faisant la promotion de générateurs deepnude alimentés par l’IA qui prétendent créer de fausses versions nues de photos d’individus vêtus.
La technologie a été controversée en raison des dommages qu’elle peut causer aux sujets en créant des images explicites non consensuelles, et elle a même été interdite dans de nombreux endroits du monde. Cependant, l’intérêt pour cette technologie reste fort.
Un réseau de générateurs deepnude
Les faux sites deepnude de FIN7 servent de pots de miel pour les personnes intéressées à générer de faux nus profonds de célébrités ou d’autres personnes. En 2019, les acteurs de la menace ont utilisé un leurre similaire pour propager des logiciels malveillants voleurs d’informations avant même l’explosion de l’IA.
Le réseau de générateurs deepnude fonctionne sous la même marque « AI Nude » et est promu par des tactiques de référencement black hat pour classer les sites en haut des résultats de recherche.
Selon Silent Push, FIN7 exploitait directement des sites comme » aiNude[.] ai », » easynude[.] site web », et nue-ai[.] pro, « qui proposait des » essais gratuits « ou des » téléchargements gratuits », mais en réalité, il ne faisait que propager des logiciels malveillants.
Tous les sites utilisent un design similaire qui promet la possibilité de générer des images AI deepnude gratuites à partir de n’importe quelle photo téléchargée.
Les faux sites Web permettent aux utilisateurs de télécharger des photos qu’ils aimeraient créer de faux nus profonds. Cependant, une fois le prétendu « nu profond » réalisé, il n’est pas affiché à l’écran. Au lieu de cela, l’utilisateur est invité à cliquer sur un lien pour télécharger l’image générée.
Cela amènera l’utilisateur à un autre site qui affiche un mot de passe et un lien vers une archive protégée par mot de passe hébergée sur Dropbox. Tant que ce site est encore en vie, le lien Dropbox ne fonctionne plus.
Cependant, au lieu d’une image nue profonde, l’archive archive contient le malware voleur d’informations Lumma Stealer. Une fois exécuté, le logiciel malveillant volera les informations d’identification et les cookies enregistrés dans les navigateurs Web, les portefeuilles de crypto-monnaie et d’autres données de l’ordinateur.
Silent Push a également vu certains sites promouvoir un programme de génération deepnude pour Windows qui déploierait à la place Redline Stealer et D3F@ck Loader, qui sont également utilisés pour voler des informations sur des appareils compromis.
Les sept sites détectés par Silent Push ont depuis été supprimés, mais les utilisateurs qui auraient pu télécharger des fichiers à partir d’eux devraient se considérer comme infectés.
Autres campagnes FIN7
Silent Push a également identifié des campagnes parallèles FIN 7 abandonnant NetSupport RAT via des sites Web qui invitent les visiteurs à installer une extension de navigateur.
Dans d’autres cas, FIND 7 utilise des charges utiles qui semblent usurper des marques et des applications bien connues telles que Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming et PuTTY.
Ces charges utiles peuvent être distribuées aux victimes en utilisant des tactiques de référencement et de publicité malveillante, les incitant à télécharger des programmes d’installation de chevaux de Troie.
FIND 7 a récemment été exposé pour avoir vendu son outil de destruction EDR personnalisé « AvNeutralizer » à d’autres cybercriminels, ciblé le personnel informatique des constructeurs automobiles dans des attaques de phishing et déployé le ransomware Cl0p dans des attaques contre des organisations.