Incidents associés
Un groupe de menaces à motivation financière tristement célèbre attire les victimes vers un réseau de sites appâtés par des logiciels malveillants, promettant le téléchargement d'outils deepfake, selon un nouveau rapport de Silent Push.
Le fournisseur de sécurité a affirmé que FIN7, basé en Russie et lié à plusieurs groupes de ransomware, héberge les sites malveillants sur plusieurs domaines sous la « marque » aiNude[.]ai.
Ils sont conçus pour attirer les internautes qui cherchent à exploiter les outils deepfake « deepnude » pour générer des images nues à partir de photos de personnes qu'ils téléchargent.
FIN7 a créé deux versions de ces sites Web dits « honeypot » : l'un proposant des téléchargements gratuits d'un outil « Deepnude Generator » et l'autre proposant un essai gratuit.
Cliquer sur l'offre de « téléchargement gratuit » redirigera la victime vers un nouveau domaine comportant un lien Dropbox ou une autre source hébergeant une charge utile malveillante, bien que le rapport ne précise pas exactement de quoi il s'agit.
Si une victime clique sur « essai gratuit », elle sera invitée à télécharger une image.
« Si une image est téléchargée, l’utilisateur est invité à afficher un message « La version d’évaluation est prête à être téléchargée » indiquant « Accédez aux documents scientifiques pour un usage personnel uniquement ». Une fenêtre contextuelle correspondante demande à l’utilisateur de répondre à la question « Le lien est destiné à un usage personnel uniquement, êtes-vous d’accord ? », explique Silent Push.
« Si l’utilisateur accepte et clique sur « Télécharger », il reçoit un fichier zip contenant une charge utile malveillante. Cette autre charge utile FIN7 est un Lumma Stealer plus classique et utilise une technique de chargement latéral de DLL pour l’exécution. »
Le fournisseur a également observé FIN7 déployer le malware Redline Stealer et le chargeur de malware-as-a-service D3F@ck via cette campagne.
On pense que le groupe utilise des tactiques de référencement pour que ses sites AI deepnude soient classés en tête des listes de recherche.
Silent Push a également révélé une deuxième campagne menée par FIN7, conçue pour diffuser secrètement le malware NetSupport RAT via des sites similaires qui obligent les visiteurs à installer une extension de navigateur. Les acteurs de la menace attirent les victimes vers les sites – qui se font passer pour des marques bien connues telles que SAP Concur, Microsoft et Thomson Reuters – via des publicités malveillantes.