Problème 4364

• Les recherches de Silent Push indiquent que les acteurs de la menace FIN7 utilisent un nouveau générateur d'IA pour adultes, sur au moins sept sites Web différents.
• Nous avons observé FIN7 utilisant deux versions des pots de miel de malwares AI deepnude : l'une qui nécessite un simple téléchargement et l'autre qui dispose d'un processus sophistiqué d'« essai gratuit ».
• Silent Push suit également la campagne de malvertising FIN7 NetSupport RAT, qui continue d'utiliser un pot de miel différent avec des leurres pop-up « Extension de navigateur requise » qui mènent au malware .MSIX. ​
• Les recherches précédentes de Silent Push ont identifié des milliers de domaines FIN7 utilisés dans des e-mails de spear-phishing, des kits de phishing et des campagnes de malware.

Les analystes de la menace Silent Push ont observé le groupe FIN7 (alias Sangria Tempest) utiliser de nouvelles tactiques dans ses attaques de malware et de phishing. Nous avons découvert que FIN7 a créé au moins sept sites Web diffusant des malwares aux visiteurs cherchant à utiliser un générateur d'IA pour adultes. Le groupe de menace continue également d'utiliser des pots de miel d'extension de navigateur, dont Silent Push a déjà parlé.

Les organisations peuvent devenir vulnérables lorsque FIN7 incite des employés sans méfiance à télécharger des fichiers malveillants. Ces fichiers peuvent compromettre directement les informations d'identification via des voleurs d'informations ou être utilisés pour des campagnes de suivi qui déploient des ransomwares.

FIN7 est un groupe de menaces motivé par des raisons financières et lié à la Russie. Il est associé à des cyberattaques sophistiquées depuis au moins 2013. Le groupe cible un large éventail de secteurs, de la vente au détail et de la technologie à la finance, aux médias, aux services publics, etc. En 2024, FIN7 a étendu sa portée pour cibler les marques mondiales.

En juillet 2024, Silent Push a découvert plus de 4 000 domaines et adresses IP IOFA, le plus grand groupe de domaines FIN7 jamais découvert et un chiffre que nous avons depuis plus que doublé pour nos clients Enterprise. Les attaques observées par le groupe étaient des campagnes mondiales massives de phishing et de malware.

Suite au récent billet de blog Silent Push FIN7 https://www.silentpush.com/blog/fin7/ accompagné du rapport TLP Amber (réservé aux utilisateurs Enterprise), notre nouvelle étude révèle que le groupe utilise un générateur d'IA pour adultes avec plusieurs pots de miel.

En planifiant ses attaques, FIN7 jette un large filet, ciblant des individus et un large éventail d'industries pour attirer ses victimes. Les analystes des menaces Silent Push ont suivi la nouvelle méthodologie d'attaque de FIN7.

L'utilisation de « pots de miel » dans cet article fait spécifiquement référence aux champs de mines techniques qui ont soigneusement conçu des leurres utilisés par les mauvais acteurs pour appâter leurs victimes sans méfiance, par opposition aux leurres et mécanismes de détection traditionnels.

L'étude Silent Push a révélé que la stratégie d'attaque actuelle de FIN7 utilise différents pots de miel : un logiciel malveillant générateur d'IA pour adultes et un cheval de Troie d'accès à distance NetSupport (RAT) continu.

Le malware NetSupport RAT de FIN7 est diffusé aux visiteurs de honeypots spécifiques, principalement des sites Web promus via des campagnes de recherche de malvertising FIN7, telles que le schéma d'installation « Nécessite une extension de navigateur ».

Fin7 a lancé des attaques de malvertising qui tentent de diffuser des malwares .MSIX. Les analystes de Silent Push ont détecté des campagnes ciblant diverses marques, notamment SAP Concur, Microsoft, Thomson Reuters et FINVIZ Stock Screening.

FIN7 dispose toujours d'adresses IP actives, et probablement de nouveaux sites Web, qui diffusent le stratagème d'extension de navigateur requis. Par exemple, voici une adresse IP active hébergeant une page de phishing SAP Concur : https://85.209.134[.]137

Exemple d'adresse IP active FIN7 hébergeant une page de phishing SAP Concur

Les organisations compromises avec l'extension de navigateur .MSIX peuvent être ciblées par un ransomware, car le malware recherche des « ordinateurs de groupe de travail ».

Après que Silent Push a récupéré un échantillon du malware de Fin7, dans ce cas impliquant « LexisNexis.msix », notre équipe d'analystes a examiné de plus près ses opérations pour fournir l'analyse suivante :

• Type : fichier d'archive ZIP
• MD5 : ff25441b7631d64afefdb818cfcceec7
• Compression : Deflate
• Pour se faire passer pour un exécutable de confiance, le malware s'est approprié les données de certificat de ce qui semble être une entreprise de fabrication chinoise, « Cangzhou Chenyue Electronic Technology »
• <Identity Name=”LexisNexis” Publisher=”CN=”Cangzhou Chenyue Electronic Technology Co., Ltd.”, O=”Cangzhou Chenyue Electronic Technology Co., Ltd.”, L=Cangzhou, S=Hebei, C=CN, SERIALNUMBER=91130922MA0G8AN920, OID.1.3.6.1.4.1.311.60.2.1.1=Cangzhou, OID.1.3.6.1.4.1.311.60.2.1.2=Hebei, OID.1.3.6.1.4.1.311.60.2.1.3=CN, OID.2.5.4.15=Private Organization” Version=”4.12.98.0″ />

Exemple de malware FIN7 avec “LexisNexis.msix”

Chaîne de distribution NetSupport RAT​

En analysant la chaîne d'attaque, nous voyons que le malware est clairement conçu pour cibler les machines jointes au domaine et toutes les données d'entreprise qu'elles offrent. À partir de là, le logiciel malveillant cherche à obtenir des privilèges élevés, notamment des déplacements latéraux et l'accès à Active Directory.

• L'attaque commence lorsque le script ouvre le site Web de LexisNexis, soit pour distraire, soit pour imiter l'activité légitime d'un utilisateur.

• Le logiciel malveillant vérifie ensuite si la machine fait partie d'un domaine ou d'un groupe de travail.

• Si la machine fait partie d'un groupe de travail, le script extrait deux archives 7-Zip chiffrées (mot de passe : 1234567890) et exécute un RAT NetSupport exécutable.

Exemple d'analyse FIN7 NetSupport RAT LexisNexis

Le package extrait comprend :

• Type : cheval de Troie d'accès à distance​​
• Nom : NetSupport RAT​​
• Infrastructure C2 : 166.88.159[.]37​​
• Titulaire de licence : MGJFFRT466​

La deuxième tactique d'attaque FIN7 est plus sophistiquée : elle utilise les sites Web générateurs de nus IA pour adultes qui diffusent des logiciels malveillants à des visiteurs sans méfiance.

Les recherches sur Silent Push indiquent que le logiciel malveillant utilisé dans cette campagne utilise des voleurs d'informations classiques, qui acquièrent des cookies, des mots de passe et d'autres détails pour potentiellement attaquer des cibles d'entreprise. Nous avons déterminé que le logiciel malveillant IA FIN7 utilise Redline Stealer et D3F@ck Loader.

FIN7 héberge plusieurs pots de miel de logiciels malveillants sous la marque « aiNude[.]ai » en plus de :

• easynude[.]website​
• ai-nude[.]cloud​
• ai-nude[.]click​
• ai-nude[.]pro​
• nude-ai[.]pro​
• ai-nude[.]adult​
• ainude[.]site

Après avoir découvert ces sites, les chercheurs de Silent Push ont soutenu les escalades pour les faire fermer. Tous les sites sont actuellement hors ligne, mais nous pensons qu'il est probable que de nouveaux sites seront lancés qui suivront des modèles similaires.

Notre équipe a découvert que les pots de miel AI Deepfake sont construits sur des « sites Web shell » utilisés par FIN7 pour les domaines vieillissants (sites modifiés ultérieurement pour déployer des logiciels malveillants ou exécuter des campagnes malveillantes). Ces fichiers et pages exposent le contenu original du shell :

• /ReturnPolicy.html​
• /personal-data.html​
• /membership-terms.html​
• /cookie-usage.html​
• /contentDisclaimer.html​
• /deliveryDetails.html

Exemple de « politique de retour » du site Web easynude[.]

Exemple de ai-nude[.]cliquez sur la page « Protection des données »

Les pots de miel Deepfake AI incluent JavaScript du réseau d'audience Facebook et de Yandex Analytics. Les recherches de Silent Push n'ont pas encore découvert de publicités Facebook.

Exemple de pot de miel Deepfake FIN7

FIN7 a créé deux versions des sites Web de pots de miel. La première implique un générateur d'adultes basé sur l'IA « téléchargement gratuit », et la seconde offre aux visiteurs du site un « essai gratuit ».

aiNude[.]ai Deepnude Generator click “free download” honeypot

Le logiciel malveillant utilisé dans ce pot de miel est à l'origine d'un simple flux utilisateur qui tente d'amener un utilisateur à télécharger la charge utile malveillante initiale.

Les pots de miel deepfake de FIN7 AI redirigent les utilisateurs sans méfiance qui cliquent sur l'offre de « téléchargement gratuit » vers un nouveau domaine comportant un lien Dropbox ou une autre source hébergeant une charge utile malveillante. En interrogeant le Silent Push Web Scanner, des centaines de ces sites Web « Le fichier est prêt à être téléchargé… » ont été trouvés. Bien que nous n'ayons pas définitivement déterminé que tous ces sites sont utilisés exclusivement par FIN7, ils semblent être malveillants et font probablement partie de flux d'utilisateurs similaires.

L'étape 1 demande à l'utilisateur de cliquer sur le lien « Téléchargement gratuit » et l'étape 2 lui demande de télécharger à partir d'un lien hébergé sur le magasin trial-uploader[.], qui renvoie vers une charge utile Dropbox.

Étape 2 : Le fichier est prêt à être téléchargé

Les pots de miel AI Deepfake ont une version unique sur des domaines comme ai-nude[.]pro, qui a un lien « Essai gratuit » sur la page d'accueil.

aiNude[.]ai Deepnude Generator cliquez sur « essai gratuit » pour offrir un pot de miel

Si un visiteur du site clique sur le bouton « Essai gratuit », l'utilisateur est invité à télécharger une image.

Si une image est téléchargée, l'utilisateur est ensuite invité à afficher un message « L'essai est prêt à être téléchargé » indiquant : « Accédez aux documents scientifiques pour un usage personnel uniquement ». Une fenêtre contextuelle correspondante demande à l'utilisateur de répondre à la question : « Le lien est destiné à un usage personnel uniquement, êtes-vous d'accord ? »

La fenêtre contextuelle « La version d'évaluation est prête à être téléchargée » apparaît

Si l'utilisateur accepte et clique sur « Télécharger », un fichier zip contenant une charge utile malveillante lui est présenté. Cette autre charge utile FIN7 est un « Lumma Stealer » plus classique et utilise une technique de chargement latéral de DLL pour l'exécution.

En cliquant sur Télécharger, un fichier zip apparaît

Tous les pots de miel deepfakes d'IA FIN7 contiennent un lien de pied de page pour « Meilleurs sites pornographiques », qui redirige les utilisateurs vers aipornsites[.]ai – un site Web qui fait la promotion du domaine « ainude[.]ai » – qui est actuellement en panne – mais qui semble être le même modèle de site Web utilisé sur les pots de miel FIN7.

Lien de pied de page du pot de miel deepfake AI FIN7 pour « Meilleurs sites porno »

Les pieds de page du pot de miel deepfake AI FIN7 redirigent vers aiNude[.]ai

Compte tenu de cela, il est probable que FIN7 utilise des tactiques de référencement pour que ses pots de miel soient mieux classés dans les résultats de recherche.

Les analystes de la menace Silent Push ont découvert que le générateur DeepNude .EXE est disponible en téléchargement directement depuis la page d'accueil de certains sites FIN7. Ce malware utilise des techniques sophistiquées, notamment plusieurs packers, l'intégration de malwares dans le code Pascal et l'exploitation de lanceurs basés sur Java pour échapper à la détection.

Le générateur Deepnude .EXE utilise « Inno Setup » pour le package de charge utile initial.

InnoSetup dispose d'un interpréteur Pascal intégré qui analyse et interprète le code Pascal pour fournir des instructions à l'installateur. De plus, le détecteur de packer PE-ID vérifie la bibliothèque intégrée mais détecte à tort le packer comme Borland Delphi.

La bibliothèque intégrée est vérifiée mais détectée à tort

Certaines des fonctionnalités utilisées dans cette charge utile initiale « Inno Setup » incluent :

• Connexion à des serveurs distants

• Obfuscation de chaîne importante

• Détections d'environnement virtuel

• Contrôle d'exécution

Fonctionnalités « Inno Setup »

Les chaînes « Inno Setup » sont codées à l'aide d'un algorithme personnalisé.

Les chaînes Inno Setup sont codées à l'aide d'un algorithme personnalisé

Exemple de flux d'exécution des chaînes Inno Setup

L'extraction de toutes les chaînes codées du code et leur décodage à l'aide de Python nous donne une image claire du flux d'exécution.

Le flux d'exécution inclut une chaîne pour un profil SteamCommunity[.]com.

Exemple de flux d'exécution

Cette fonctionnalité recherche une sous-chaîne avec « v_10:= ‘i1il’ ; » Ceci est utilisé comme espace réservé pour obtenir le c2. Le nom d'utilisateur Steam inclut une adresse IP hébergée par Hetzner « 49.12.117[.]119 »

Le nom d'utilisateur Steam inclut une adresse IP hébergée par Hetzner

La recherche sur Steam de profils incluant « i1il » révèle d'autres C2 probables de ce réseau :

• 78.47.105[.]28 – Hetzner​
• 159.69.26[.]61 – Hetzner​

Les C2 / profils Steam précédents trouvés lors de la recherche incluent :

• 116.203.15[.]73 – Hetzner​
• 116.203.8[.]165 – Hetzner​
• 116.202.0[.]236 – Hetzner​
• 116.202.5[.]195 – Hetzner​
• 78.47.105[.]28 – Hetzner​
• 78.46.129[.]163 – Hetzner​
• 88.198.89[.]4 – Hetzner​
• 5.75.232[.]183 – Hetzner

Exemple de recherche Steam

La charge utile secondaire était 78.47.101[.]48/manual/225/225.zip. ​Le fichier 225.zip se compose de la machine virtuelle Java et d'un fichier EXE, écrit en Launch4j.

Launch4j est un outil open source conçu pour encapsuler des applications Java (fichiers JAR) dans des exécutables Windows natifs (fichiers EXE).

​225.exe a été détecté pour la PREMIÈRE fois comme D3F@ck Loader par @RussianPanda9xx

Cette campagne de malware FIN7 semble avoir utilisé une charge utile supplémentaire. ​La charge utile secondaire initiale trouvée sur VirusTotal était 170.exe – 7e5d91f73e89a997a7caa6b111bbd0f9788aa707ebf6b7cbe2ad2c01dffdc15d, qui était un malware de vol d'identifiants Redline, avec la configuration suivante :

La campagne FIN7 liée à D3F@ck Loader a commencé le 5 août 2024, selon les dates de téléchargement de VirusTotal. Les applications usurpées qu'ils ont ciblées incluent :

• PuTTY
• Razer Gaming
• Fortinet VPN
• Un cheat de jeu vidéo Fortnite
• Zoom
• Cannon
• Plusieurs autres applications génériques

Le malware trouvé sur l'un des sites Web du « générateur d'IA Deepnude » se connecte à une campagne qui a ciblé plusieurs marques. Il est intéressant de noter qu'un « cheat Fortnite » infecté par un malware semble également faire partie de la campagne.

Exemple d'applications falsifiées ciblées

Cette autre charge utile FIN7 est un « Lumma Stealer » plus classique qui s'exécute à l'aide d'une technique de chargement latéral de DLL.

Ce malware s'est avéré utiliser deux C2 :

• pang-scrooge-carnage[.]shop
• thesiszppdsmi[.]shop

Silent Push continuera de suivre l'activité FIN7 et de signaler nos conclusions à la communauté.

Certaines informations de ce blog public ont été omises pour des raisons de sécurité opérationnelle.

Nous avons également publié un rapport TLP Amber pour les utilisateurs d'entreprise qui contient des liens vers les requêtes, recherches et analyses spécifiques que nous avons utilisées pour identifier et parcourir l'infrastructure FIN7, y compris les paramètres propriétaires que nous avons omis de ce blog pour des raisons de sécurité opérationnelle.

Depuis notre publication initiale, les chercheurs de Silent Push ont constaté une augmentation drastique du nombre d'IOFA, plus du double pour nos clients d'entreprise. Nous avons regroupé les domaines et les adresses IP FIN7 dans deux flux IOFA dédiés.

Les utilisateurs de Silent Push Enterprise peuvent intégrer ces données dans leur pile de sécurité, ce qui leur permet de bloquer l'infrastructure FIN7 à sa source.

Les données sont disponibles pour l'exportation au format CSV, JSON ou STIX ou sous forme d'extrait de code automatisé à l'aide de l'API Silent Push.

Silent Push Community Edition est une plateforme gratuite de recherche de menaces et de cyberdéfense proposant une gamme de recherches offensives et défensives avancées, de requêtes de contenu Web et de types de données enrichis que nous avons utilisés pour suivre FIN7.