Специалисты по кибербезопасности из компании Silent Push обнаружили новую тактику известной хакерской группы FIN7. Злоумышленники создали сеть сайтов, имитирующих ИИ-генераторы контента для взрослых, с целью распространения вредоносного программного обеспечения (малвари) и кражи конфиденциальных данных пользователей.
История и эволюция группировки FIN7
FIN7, также известная как Sangria Tempest, Carbon Spider и Carbanak, активно действует с 2013 года. За более чем десятилетнюю историю группа значительно эволюционировала в своих методах:
- Изначально специализировалась на атаках на точки продаж (PoS) для кражи платежных данных
- Позже переключилась на взлом крупных корпораций с использованием программ-вымогателей
- Связана с известными вымогательскими группировками DarkSide, BlackMatter и BlackCat
Новая тактика: Фальшивые ИИ-генераторы deepnudes
Текущая кампания FIN7 использует растущий интерес к технологиям искусственного интеллекта и генерации изображений. Хакеры создали сеть сайтов, якобы предлагающих услуги по созданию deepnudes — откровенных изображений, сгенерированных на основе обычных фотографий с помощью ИИ.
Механизм атаки
Процесс заражения устройств пользователей происходит следующим образом:
- Жертва загружает фотографию на сайт для «обработки»
- После якобы неудачной генерации изображения, пользователю предлагается скачать результат по ссылке
- Ссылка ведет на архив, защищенный паролем, якобы содержащий сгенерированное изображение
- На самом деле архив содержит вредоносное ПО — инфостилер Lumma
Масштабы и последствия атаки
По данным Silent Push, FIN7 напрямую управляла несколькими сайтами, включая aiNude[.]ai, easynude[.]website и nude-ai[.]pro. Эти ресурсы активно продвигались с помощью методов черного SEO для привлечения максимального числа жертв. Все семь обнаруженных сайтов уже удалены, однако масштабы заражения могут быть значительными.
Типы распространяемого вредоносного ПО
В ходе кампании FIN7 использовала различные виды малвари:
- Инфостилер Lumma — основной инструмент для кражи данных
- Стилер Redline — на сайтах, рекламирующих ПО для Windows
- D3F@ck Loader — дополнительная малварь для кражи информации
- NetSupport RAT — удаленный доступ через поддельные расширения браузера
Эта кампания FIN7 демонстрирует растущую изощренность кибератак и важность критического отношения к онлайн-сервисам, особенно связанным с деликатным контентом. Пользователям рекомендуется проявлять осторожность при взаимодействии с неизвестными веб-сайтами, особенно теми, которые предлагают бесплатные или слишком привлекательные услуги. Регулярное обновление антивирусного ПО и использование надежных средств защиты остаются ключевыми мерами для предотвращения подобных атак.
