Deepfake de nudes disseminam malware
3 de Outubro de 2024

O notório grupo de hackers APT conhecido como FIN7 lançou uma rede de sites falsos geradores de deepnude potencializados por IA para infectar visitantes com malware de roubo de informação.

Acredita-se que o FIN7 seja um grupo de hackers russo que vem conduzindo fraude financeira e cibercrime desde 2013, com laços com gangues de ransomware, como DarkSide, BlackMatter e BlackCat, que recentemente realizaram um exit scam após roubar um pagamento de resgate de 20 milhões de dólares da UnitedHealth.

O FIN7 é conhecido por seus sofisticados ataques de phishing e engenharia social, como se passar pela BestBuy para enviar chaves USB maliciosas ou criar uma empresa de segurança falsa para contratar pentesters e desenvolvedores para ataques de ransomware sem que eles saibam.

Portanto, não é surpreendente descobrir que agora eles foram vinculados a uma intrincada rede de sites promovendo geradores de deepnude potencializados por IA que alegam criar versões nuas falsas de fotos de indivíduos vestidos.

A tecnologia tem sido controversa devido ao dano que pode causar aos sujeitos ao criar imagens explícitas não consensuais, e até mesmo foi proibida em muitos lugares do mundo.

No entanto, o interesse nesta tecnologia permanece forte.

Os sites falsos de deepnude do FIN7 servem como armadilhas para pessoas interessadas em gerar deepfakes nus de celebridades ou outras pessoas.

Em 2019, atores de ameaças usaram um chamariz semelhante para espalhar malware de roubo de informações mesmo antes da explosão da IA.

A rede de geradores de deepnude opera sob a mesma marca "AI Nude" e é promovida através de táticas de SEO black hat para classificar os sites altamente nos resultados de busca.

De acordo com a Silent Push, os sites operados diretamente pelo FIN7, como "aiNude[.]ai", "easynude[.]website" e "nude-ai[.]pro", ofereciam "testes gratuitos" ou "downloads gratuitos", mas na realidade apenas espalhavam malware.

Todos os sites usam um design semelhante que promete a capacidade de gerar imagens deepnude de IA gratuitas a partir de qualquer foto enviada.

Os sites falsos permitem que os usuários façam upload de fotos que gostariam de criar nudes deepfake.

No entanto, após a suposta criação do "deepnude", não é exibido na tela.

Em vez disso, o usuário é solicitado a clicar em um link para baixar a imagem gerada.

Fazer isso levará o usuário a outro site que exibe uma senha e um link para um arquivo protegido por senha hospedado no Dropbox.

Enquanto este site ainda está ativo, o link do Dropbox não funciona mais.

No entanto, em vez de uma imagem de deepnude, o arquivo contém o malware de roubo de informação Lumma Stealer.

Quando executado, o malware roubará credenciais e cookies salvos nos navegadores web, carteiras de criptomoedas e outros dados do computador.

A Silent Push também viu alguns sites promovendo um programa de geração de deepnude para Windows que, em vez disso, implantaria o Redline Stealer e o D3F@ck Loader, que também são usados para roubar informações de dispositivos comprometidos.

Todos os sete sites detectados pela Silent Push foram retirados do ar, mas usuários que possam ter baixado arquivos deles devem se considerar infectados.

A Silent Push também identificou campanhas paralelas do FIN7 distribuindo o NetSupport RAT por meio de sites que solicitam aos visitantes a instalação de uma extensão de navegador.

Em outros casos, o FIN7 usa cargas úteis que parecem imitar marcas e aplicativos bem conhecidos, como Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming e PuTTY.

Essas cargas úteis podem ser distribuídas às vítimas usando táticas de SEO e malvertising, enganando-as a baixar instaladores trojanizados.

O FIN7 foi recentemente exposto por vender sua ferramenta personalizada de neutralização de EDR "AvNeutralizer" para outros criminosos cibernéticos, mirando em equipes de TI de fabricantes de automóveis em ataques de phishing e implantando o ransomware Cl0p em ataques contra organizações.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...