Incidentes Asociados
Un infame grupo de amenazas con motivaciones económicas está atrayendo a las víctimas a una red de sitios con malware, prometiéndoles descargas de herramientas deepfake, según un nuevo informe de Silent Push.
El proveedor de seguridad afirmó que FIN7, con sede en Rusia, que ha sido vinculado a múltiples grupos de ransomware, está alojando los sitios maliciosos en múltiples dominios bajo la "marca" aiNude[.]ai.
Están diseñados para atraer a los usuarios de Internet que buscan aprovechar las herramientas deepfake "deepnude" para generar imágenes de desnudos a partir de fotos de personas que suben.
FIN7 creó dos versiones de estos sitios web denominados "honeypot": uno que ofrece descargas gratuitas de una herramienta "Deepnude Generator" y el otro que ofrece una prueba gratuita.
Al hacer clic en la oferta de "descarga gratuita", se redirigirá a la víctima a un nuevo dominio que presenta un enlace de Dropbox u otra fuente que aloja una carga maliciosa, aunque el informe no deja claro exactamente de qué se trata.
Si una víctima hace clic en “prueba gratuita”, se le solicitará que cargue una imagen.
“Si se carga una imagen, el usuario recibe un mensaje que dice ‘La prueba está lista para descargarse’ y dice: ‘Acceda a los materiales científicos solo para uso personal’. Una ventana emergente correspondiente solicita al usuario que responda la pregunta: ‘El enlace es solo para uso personal, ¿está de acuerdo?’”, explicó Silent Push.
“Si el usuario acepta y hace clic en ‘Descargar’, se le entrega un archivo zip con una carga maliciosa. Esta otra carga maliciosa de FIN7 es un Lumma Stealer más clásico y utiliza una técnica de carga lateral de DLL para su ejecución”.
El proveedor también ha observado que FIN7 implementa el malware Redline Stealer y el cargador de malware como servicio D3F@ck a través de esta campaña.
Se cree que el grupo utiliza tácticas de SEO para lograr que sus sitios de desnudos profundos con inteligencia artificial se ubiquen en la parte superior de las listas de búsqueda.
Silent Push también reveló una segunda campaña dirigida por FIN7, diseñada para distribuir de forma encubierta malware NetSupport RAT a través de sitios similares que requieren que los visitantes instalen una extensión del navegador. Los actores de amenazas atraen a las víctimas a los sitios, que suplantan marcas conocidas como SAP Concur, Microsoft y Thomson Reuters, a través de publicidad maliciosa.