Nem todos os geradores de imagens de IA são o que afirmam ser
Sexo vende, é o que dizem, e um notório russo grupo de ransomware está levando essa frase para a era da IA com uma nova campanha que aproveita supostos aplicativos de geração de imagens de nudez deepfake.
Quem ou o que é Fin7?
O Mitre Att@ck a base de conhecimento de ameaças e adversários descreve o Fin7 como um grupo de ameaças com motivação financeira, ativo pelo menos desde 2013. Desde 2020, o Fin7 tem adotado uma abordagem de grande caça às suas operações, visando organizações com ransomware e até mesmo oferecendo um ransomware como serviço instalação de serviço. Portanto, pode ser uma surpresa saber que esses veteranos do crime cibernético organizado ingressaram no negócio de pornografia deepfake gerada por IA. Ou seria se esse fosse realmente o caso. Na verdade, Fin7 apenas continua com operações destinadas a capturar vítimas, espalhar seu malware e obter recompensas financeiras por seus esforços nefastos.
A gangue Fin7 criou um honeypot pornô deepfake
Uma pesquisa recentemente publicada pelos pesquisadores de segurança da Silent Push revelou como o grupo criminoso Fin7 está hospedando geradores maliciosos de IA “DeepNude” como parte de um honeypot de sites relacionados à pornografia. O relatório, FIN7 hospedando domínios honeypot com geradores AI DeepNude maliciososdescobriu que o estratagema está sendo usado em pelo menos sete sites usando pelo menos dois geradores de imagens deepfake diferentes. Essas diferenças estão apenas no fato de que uma é uma técnica de distribuição de malware baseada em download e a outra é um processo de trilha livre que é muito mais sofisticado, de acordo com os pesquisadores.
A Fin7 está lançando uma ampla rede nesses ataques, revelou a análise de ameaças do Silent Push, com indivíduos e indústrias na mira. As organizações estão em risco, pois podem tornar-se vulneráveis se funcionários desavisados forem tentados a descarregar ficheiros maliciosos que, segundo o relatório, “podem comprometer diretamente as credenciais através de infostealers ou ser utilizados para campanhas subsequentes que implementam ransomware”.
O uso de honeypots nesta campanha é interessante porque marca um afastamento das metodologias de iscas de phishing mais convencionais e relativamente simples. Neste contexto, um honeypot refere-se a “campos minados técnicos que possuem iscas cuidadosamente elaboradas, usadas por malfeitores para atrair suas vítimas inocentes”, disseram os pesquisadores.
A metodologia de ataque mais sofisticada, comparada ao clique em um link e download mencionado anteriormente, é o uso de um processo de teste gratuito. Isso usa o gerador de imagens nuas deepfake com tema adulto para atrair a vítima a concordar com um teste gratuito. Se eles seguirem este link, será solicitado que carreguem uma imagem a partir da qual possam criar pornografia com nudez deepfake. Se o usuário fizer upload de tal imagem, ele será solicitado a baixar os resultados com uma caixa de diálogo pop-up que diz “apenas para uso pessoal, você concorda?” Se o fizerem, será iniciado um download que vem como um arquivo Zip malicioso contendo o Ladrão Lumma malware para roubo de senhas. Isso então usa uma técnica de carregamento lateral de DLL para execução.
Todos os sites descobertos pelo Silent Push estão atualmente off-line depois que os pesquisadores apoiaram encaminhamentos às empresas de hospedagem para removê-los. Mas não se deixe enganar, “acreditamos que é provável que sejam lançados novos sites que sigam padrões semelhantes”, alertaram os pesquisadores.
