No todos los generadores de imágenes de IA son lo que dicen ser
El sexo vende, eso dicen, y un famoso ruso grupo ransomware está llevando esa frase a la era de la inteligencia artificial con una nueva campaña que aprovecha supuestas aplicaciones generadoras de imágenes de desnudos deepfake.
¿Quién o qué es Fin7?
El Mitra Att@ck La base de conocimiento de adversarios de amenazas describe a Fin7 como un grupo de amenazas con motivación financiera activo desde al menos 2013. Desde 2020, Fin7 ha estado adoptando un gran enfoque de caza en sus operaciones, apuntando a organizaciones con ransomware e incluso ofreciendo un ransomware como servicio. instalación de servicio. Por lo tanto, podría resultar sorprendente saber que estos veteranos del cibercrimen organizado se han trasladado al negocio del porno deepfake generado por IA. O lo sería si ese fuera realmente el caso. De hecho, Fin7 simplemente continúa con operaciones diseñadas para atrapar a las víctimas, difundir su malware y obtener recompensas financieras por sus nefastos esfuerzos.
La pandilla Fin7 ha creado un Honeypot porno deepfake
Una investigación recientemente publicada por los investigadores de seguridad de Silent Push ha revelado cómo el grupo criminal Fin7 aloja generadores maliciosos de IA “DeepNude” como parte de un grupo de sitios relacionados con la pornografía. El informe, FIN7 aloja dominios honeypot con generadores DeepNude de IA maliciososdescubrió que el truco se está utilizando en al menos siete sitios web que utilizan al menos dos generadores de imágenes deepfake diferentes. Según los investigadores, estas diferencias solo se deben a que una es una técnica de distribución de malware basada en descargas y la otra es un proceso de prueba gratuita que es mucho más sofisticado.
Fin7 está lanzando una amplia red en estos ataques, según reveló el análisis de amenazas de Silent Push, con individuos e industrias en el punto de mira. Las organizaciones están en riesgo, ya que pueden volverse vulnerables si los empleados desprevenidos se ven tentados a descargar archivos maliciosos que, según el informe, “pueden comprometer directamente las credenciales a través de ladrones de información o usarse para campañas de seguimiento que implementan ransomware”.
El uso de honeypots en esta campaña es interesante ya que marca un alejamiento de las metodologías de cebo de phishing más convencionales y relativamente sencillas. En este contexto, un honeypot se refiere a “campos minados técnicos que han elaborado cuidadosamente señuelos utilizados por malos actores para atraer a sus víctimas desprevenidas”, dijeron los investigadores.
La metodología de ataque más sofisticada, en comparación con hacer clic en un enlace y descargar uno mencionado anteriormente, es el uso de un proceso de prueba gratuito. Esto utiliza el generador de imágenes de desnudos deepfake con temática para adultos para atraer a la víctima a aceptar una prueba gratuita. Si siguen este enlace, les pedirá que carguen una imagen a partir de la cual puedan crear porno de desnudos deepfake. Si el usuario carga dicha imagen, se le pedirá que descargue los resultados con un cuadro de diálogo emergente que dice “solo para uso personal, ¿está de acuerdo?” Si lo hacen, se inicia una descarga que viene como un archivo Zip malicioso que contiene el Ladrón de lummas malware para robar contraseñas. Luego, esto utiliza una técnica de carga lateral de DLL para la ejecución.
Todos los sitios descubiertos por Silent Push están actualmente fuera de línea después de que los investigadores apoyaron las escaladas a las empresas de alojamiento para que los eliminaran. Pero no se deje engañar: “creemos que es probable que se lancen nuevos sitios que sigan patrones similares”, advirtieron los investigadores.
