За даними фахівців Silent Push, хак-група FIN7 запустила мережу сайтів із фейковими АІ-генераторами контенту для дорослих. Відвідувачів таких ресурсів заражають малвар’ю, яка краде дані.

Угруповання FIN7 (воно ж Sangria Tempest, Carbon Spider і Carbanak) активне понад десять років, із 2013 року. Спочатку група займалася PoS-атаками з метою крадіжки платіжних даних, а потім переключилася на злом великих компаній, поширюючи здирницьке ПЗ. Так, FIN7 пов’язували з такими здирницькими угрупованнями, як DarkSide, BlackMatter і BlackCat.

Зазвичай FIN7 спеціалізується на складних фішингових та інжинірингових атаках для отримання первинного доступу до корпоративних мереж. Наприклад, відомий випадок, коли хакери видавали себе за компанію BestBuy і розсилали шкідливі USB-накопичувачі своїм цілям.

Тепер же зловмисників пов’язали із заплутаною мережею сайтів, що рекламують АІ-генератори дипнюдсів (deepnudes, відвертих зображень, створених за допомогою АІ), які нібито допомагають генерувати відверті фото, беручи за основу фотографій вдягнутих людей.

Фальшиві сайти FIN7 слугують приманками для людей, зацікавлених у створенні діпфейків оголених знаменитостей та інших людей. Варто зазначити, що схожі хитрощі для поширення малварі зловмисники використовували ще у 2019 задовго до глобального ШІ-буму.

Мережа хакерів працює під брендом AI Nude і активно просувається за допомогою методів чорного SEO, щоб сайти фальшивих генераторів займали високі позиції в результатах пошуку. Усі сайти мають схожий дизайн і обіцяють безкоштовне створення дипнюдсів на основі будь-якої завантаженої фотографії.

За інформацією Silent Push, угруповання безпосередньо керувало такими сайтами, як aiNude[.]ai, easynude[.]website і nude-ai[.]pro, які пропонували відвідувачам безкоштовні пробні версії та безоплатні скачування, але насправді просто розповсюджували шкідливе ПЗ.

Сайти дозволяли користувачам завантажувати будь-які фото, з яких потрібно зробити відвертий діпфейк. Однак після генерації діпнюдса зображення нібито не відображалося на екрані. Замість цього користувачеві пропонували перейти за посиланням, щоб завантажити отриманий результат.

Наразі всі сім сайтів, виявлених фахівцями Silent Push, уже видалено.

Крім фальшивих генераторів нейромережевого порно експерти виявили й інші кампанії FIN7, наприклад ті, що поширюють NetSupport RAT через сайти, де відвідувачам пропонувалося встановити розширення для браузера. В інших випадках FIN7 використовувала корисні навантаження, замасковані під відомі бренди і застосунки, зокрема продукти Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming і PuTTY.