Silent Push の新しいレポートによると、悪名高い金銭目的の脅威グループが、マルウェアを仕掛けたサイトのネットワークに被害者を誘い込み、ディープフェイク ツールのダウンロードを約束している。
セキュリティ ベンダーは、複数のランサムウェア グループと関連付けられてきたロシアを拠点とする FIN7 が、aiNude[.]ai という「ブランド」で複数のドメインに悪質なサイトをホストしていると主張した。
これらのサイトは、ディープフェイクの「ディープヌード」ツールを使用してアップロードした個人の写真からヌード画像を生成することを望むインターネット ユーザーを引き付けるために設計されている。
FIN7 は、これらのいわゆる「ハニーポット」 Web サイトの 2 つのバー��ジョンを作成した。1 つは「ディープヌード ジェネレーター」ツールの無料ダウンロードを提供し、もう 1 つは無料トライアルを提供している。
「無料ダウンロード」オファーをクリックすると、被害者は Dropbox リンクまたは悪質なペイロードをホストしている別のソースを含む新しいドメインにリダイレクトされるが、レポートからはそれが正確に何であるかは不明である。
被害者が「無料トライアル」をクリックすると、画像をアップロードするよう求められます。
「画像をアップロードすると、次に「トライアルをダウンロードできます」というメッセージが表示され、「科学資料は個人使用のみに使用できます」と表示されます。対応するポップアップで、ユーザーは「リンクは個人使用のみに使用できます。同意しますか?」という質問に答える必要があります」と Silent Push は説明しています。
「ユーザーが同意して「ダウンロード」をクリックすると、悪意のあるペイロードを含む zip ファイルが提供されます。この別の FIN7 ペイロードは、より典型的な Lumma Stealer であり、実行には DLL サイドローディング手法を使用します。」
ベンダーは、FIN7 がこのキャンペーンを通じて Redline Stealer マルウェアと D3F@ck マルウェア アズ ア サービス ローダーを展開していることも確認しています。
このグループは、AI ディープヌード サイトを検索結果リストの上位にランク付けするために SEO 戦術を使用していると考えられています。
Silent Push は、FIN7 が実行した 2 つ目のキャンペーンも 明らかに しました。このキャンペーンは、訪問者にブラウザ拡張機能のインストールを要求する類似サイトを通じて、NetSupport RAT マルウェアを密かに配信するように設計されています。脅威アクターは、マルバタイジングを介して、SAP Concur、Microsoft、Thomson Reuters などの有名ブランドを偽装したサイトに被害者を誘い込みます。