Piratas de FIN7 distribuyen malware a través de deepfakes

Actualizado el 4 octubre, 2024 16:10:14

El conocido grupo de hackers APT conocido como FIN7 ha lanzado una red de sitios falsos que promueven generadores de deepnude impulsados por IA, con el objetivo de infectar a los visitantes con malware diseñado para robar información.

Se cree que FIN7 es un grupo de hackers ruso que ha estado involucrado en fraudes financieros y delitos cibernéticos desde 2013, manteniendo vínculos con bandas de ransomware como DarkSide, BlackMatter y BlackCat, las cuales recientemente ejecutaron una estafa que les permitió robar un rescate de 20 millones de dólares de UnitedHealth.

FIN7 es reconocido por sus sofisticados ataques de phishing y técnicas de ingeniería social, como hacerse pasar por BestBuy para enviar memorias USB maliciosas, o crear una empresa de seguridad falsa para contratar pentesters y desarrolladores, quienes involuntariamente se convierten en cómplices de ataques de ransomware.

Por lo tanto, no resulta sorprendente que se haya vinculado a FIN7 con esta intrincada red de sitios web que promueven generadores de deepnude impulsados por IA, los cuales afirman crear versiones falsas de fotos de personas vestidas en situaciones explícitas.

La tecnología en cuestión ha generado controversia debido al daño que puede infligir a las víctimas al producir imágenes explícitas sin su consentimiento, y ha sido prohibida en muchas partes del mundo. Sin embargo, el interés por esta tecnología sigue siendo fuerte.

Una red de generadores de imágenes de deepnude

FIN7
Uno de los sitios engañosos de deepnude impulsados por inteligencia artificial de FIN7. Fuente: Silent Push.

Los sitios falsos de deepnude de FIN7 actúan como señuelos para aquellos interesados en crear desnudos falsos de celebridades u otras personas. En 2019, los actores de amenazas emplearon un señuelo similar para propagar malware que roba información, incluso antes del auge de la inteligencia artificial.

Esta red de generadores de deepnude opera bajo la misma marca, «AI Nude«, y utiliza tácticas de SEO Black Hat para posicionar sus sitios en los primeros lugares de los resultados de búsqueda.

Según Silent Push, FIN7 gestionaba directamente sitios como «aiNude[.]ai», «easynude[.]website» y «nude-ai[.]pro», que ofrecían «pruebas gratuitas» o «descargas gratuitas«, pero en realidad solo servían para difundir malware.

Todos los sitios comparten un diseño similar que promete la generación de imágenes de deepnude con IA de forma gratuita a partir de cualquier foto cargada.

Los sitios web fraudulentos permiten a los usuarios subir fotos con las que desean generar desnudos falsos. Pero, una vez que se crea el supuesto «desnudo total«, la imagen no se muestra en la pantalla. En cambio, se solicita al usuario que haga clic en un enlace para descargar la imagen generada.

Al hacerlo, se le redirige a otro sitio que presenta una contraseña y un enlace a un archivo protegido por contraseña alojado en Dropbox. Aunque este sitio sigue activo, el enlace de Dropbox ya no funciona.

FIN7
Sitio empleado para distribuir cargas útiles maliciosas.

Sin embargo, en lugar de una imagen de deepnude, el archivo contiene el malware Lumma Stealer, que roba información. Al ejecutarse, este malware roba credenciales y cookies almacenadas en navegadores web, así como datos de billeteras de criptomonedas y otros archivos de la computadora.

Silent Push también identificó algunos sitios que promocionaban un programa de generación de deepnude para Windows, que en realidad implementaba Redline Stealer y D3F@ck Loader, herramientas también utilizadas para robar información de dispositivos comprometidos.

Los siete sitios detectados por Silent Push han sido eliminados, pero los usuarios que podrían haber descargado archivos de ellos deben considerarse infectados.

Otras iniciativas de FIN7

Sitio web que distribuye NetSupport a las víctimas. Fuente: Silent Push.

Silent Push también identificó iniciativas paralelas de FIN7 que distribuyen NetSupport RAT a través de sitios web que incitan a los visitantes a instalar una extensión del navegador.

En otros casos, FIN7 utiliza llamadas útiles que aparentan suplantar marcas y aplicaciones conocidas, como Canon, Zoom, Fortnite, Fortinet VPN, Razer Gaming y PuTTY.

Estas cargas útiles se distribuyen a las víctimas mediante tácticas de SEO y publicidad maliciosa, engañándolas para que descarguen instaladores troyanizados.

Recientemente, FIN7 fue expuesto por vender su herramienta personalizada de eliminación de EDR, «AvNeutralizer», a otros cibercriminales.

Además, han dirigido ataques de phishing contra el personal de TI de fabricantes de automóviles y han desplegado el ransomware Cl0p en ataques dirigidos a diversas organizaciones.

Sobre el mismo argumento...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más leídos (últimos 30 días)

Archivo

Argumentos