Хакеры используют поддельные сайты с ИИ «Nudify» для распространения вредоносных программ

Сегодняшний отчет 404 Media раскрыл, что сеть сайтов на основе ИИ, которые называются «nudify» и утверждают, что могут «раздевать» фотографии с помощью искусственного интеллекта, на самом деле контролируется известной русской киберпреступной группой Fin7.

Эти веб-сайты являются прикрытием для распространения вредоносных программ, особенно нацеленных на получение логинов и паролей пользователей, а также на их криптовалютные кошельки.

Согласно исследователям из компании по кибербезопасности Silent Push, сайты Fin7 созданы так, чтобы выглядеть как другие популярные сайты, где без согласия создаются AI-генерированные контенты.

Однако, вместо того чтобы производить измененные изображения, они заражают системы пользователей RedLine — видом вредоносного ПО, известным своей способностью кражи конфиденциальной информации из веб-браузеров, как отмечено 404 Media.

Согласно компании по кибербезопасности RecordedFuture, как сообщает 404 Media, RedLine в настоящее время является одной из наиболее распространенных форм вредоносного ПО, предназначенного для кражи информации.

Эти данные подчеркивают растущую привлекательность инструментов для создания искусственно-генерированных «глубоких подделок» (deepfake), которые теперь используют хакеры для ловушек, ставящих жертв в опасность.

Fin7, связанная с крупными кибератаками по всей территории США, использует эти сайты в качестве нового метода распространения вредоносного ПО.

Зак Эдвардс, старший аналитик по угрозам в Silent Push, заявил 404 Media, что эти платформы привлекают определенную демографическую группу.

«Они ищут людей, которые занимаются на грани теневыми делами, и затем готовят вредоносное ПО для тех, кто активно ищет что-то подозрительное», — объяснила Эдвардс о стратегии Fin7.

Этот подход эффективен, добавила она, потому что жертвы вряд ли сообщат о хакерских атаках властям из-за незаконной природы своих действий. Помимо организации «медовых ловушек» и привлечения пользователей, для их заражения требуется минимум усилий.

404 Media обнаружила, что один из сайтов, управляемых Fin7, был указан на крупном агрегаторе порносайтов, что увеличивает потенциальное количество жертв. Агрегатор, который часто посещают люди в поисках платформ для неконсенсуального обмена изображениями, помог направить ничего не подозревающих пользователей на домены Fin7, зараженные вредоносным ПО.

В ответ на вопросы от 404 Media, Hostinger, регистратор доменов для большинства мошеннических сайтов, заблокировал доступ к этим доменам.

404 Media указывает на то, что у Fin7 долгая история сложных кибератак, включая создание фиктивных компаний по тестированию проникновений, чтобы обмануть жертв, заставив их взламывать системы в их интересах.

Несмотря на утверждения Департамента Юстиции США в прошлом году о том, что «Fin7 как сущность больше не существует», это недавнее открытие подтверждает, что группа все еще активна и изобретает новые способы попадания в ловушку своих жертв, как отмечает 404 Media.

Эдвардс представит полные результаты исследования Silent Push на конференции по кибербезопасности Virus Bulletin на этой неделе.