FIN7 olarak bilinen kötü şöhretli APT hack grubu, ziyaretçilere bilgi çalan kötü amaçlı yazılım bulaştırmak için yapay zeka destekli sahte deepnude oluşturucu sitelerden oluşan bir ağ başlattı.
FIN7’nin, 2013’ten bu yana mali dolandırıcılık ve siber suçlar yürüten, DarkSide, BlackMatter ve BlackCat gibi fidye yazılımı çeteleriyle bağları olan ve yakın zamanda 20 milyon dolarlık UnitedHealth fidye ödemesini çaldıktan sonra bir çıkış dolandırıcılığı gerçekleştiren bir Rus bilgisayar korsanlığı grubu olduğuna inanılıyor.
FIN7, kötü amaçlı USB anahtarları göndermek için BestBuy’u taklit etmek veya fidye yazılımı saldırıları için onların haberi olmadan pentester ve geliştiricileri işe almak üzere sahte bir güvenlik şirketi oluşturmak gibi karmaşık kimlik avı ve sosyal mühendislik saldırılarıyla tanınır.
Bu nedenle, artık giyinik kişilerin fotoğraflarının sahte çıplak versiyonlarını oluşturduklarını iddia eden yapay zeka destekli derin çıplaklık oluşturucularını tanıtan karmaşık bir web siteleri ağına bağlı olduklarını görmek şaşırtıcı değil.
Teknoloji, rıza dışı müstehcen görüntüler oluşturarak deneklere verebileceği zarar nedeniyle tartışmalara yol açmış, hatta dünyanın birçok yerinde yasa dışı ilan edilmiştir. Ancak bu teknolojiye olan ilgi hala güçlü.
Deepnude jeneratörlerinden oluşan bir ağ
FIN7’nin sahte derin çıplak siteleri, ünlülerin veya diğer kişilerin derin sahte çıplak fotoğraflarını oluşturmakla ilgilenen kişiler için bal küpü görevi görüyor. 2019’da tehdit aktörleri, yapay zeka patlamasından önce bile bilgi hırsızlığı yapan kötü amaçlı yazılımları yaymak için benzer bir tuzak kullanmıştı.
Deepnude oluşturuculardan oluşan ağ, aynı “AI Nude” markası altında faaliyet gösteriyor ve siteleri arama sonuçlarında üst sıralara çıkarmak için siyah şapka SEO taktikleri aracılığıyla tanıtılıyor.
Silent Push’a göre FIN7, “aiNude” gibi siteleri doğrudan işletiyordu[.]ai”, ” easynude[.]web sitesi” ve çıplak-ai[.]”Ücretsiz denemeler” veya “ücretsiz indirmeler” sunan ancak gerçekte yalnızca kötü amaçlı yazılım yayan.
Tüm siteler, yüklenen herhangi bir fotoğraftan ücretsiz AI derin çıplak görüntüler oluşturma yeteneği vaat eden benzer bir tasarım kullanıyor.
Sahte web siteleri, kullanıcıların derin sahte çıplaklar oluşturmak istedikleri fotoğrafları yüklemelerine olanak tanıyor. Ancak iddia edilen “derin çıplaklık” yapıldıktan sonra ekranda görüntülenmiyor. Bunun yerine, kullanıcıdan oluşturulan görseli indirmek için bir bağlantıya tıklaması istenir.
Bunu yapmak, kullanıcıyı, Dropbox’ta barındırılan şifre korumalı bir arşivin şifresini ve bağlantısını görüntüleyen başka bir siteye yönlendirecektir. Bu site hala hayattayken Dropbox bağlantısı artık çalışmıyor.
Ancak arşiv arşivi derin çıplak bir görüntü yerine Lumma Stealer bilgi hırsızlığı yapan kötü amaçlı yazılım içeriyor. Kötü amaçlı yazılım çalıştırıldığında, web tarayıcılarında, kripto para birimi cüzdanlarında kayıtlı kimlik bilgilerini ve çerezleri ve bilgisayardaki diğer verileri çalacaktır.
Silent Push ayrıca bazı sitelerin Windows için deepnude nesil bir programın tanıtımını yaptığını ve bunun yerine Redline Stealer ve D3F@ck Loader’ı dağıttığını da gördü; bunlar aynı zamanda güvenliği ihlal edilmiş cihazlardan bilgi çalmak için de kullanılıyor.
Silent Push tarafından tespit edilen yedi sitenin tümü o zamandan beri kapatıldı, ancak bu sitelerden dosya indirmiş olabilecek kullanıcılar kendilerini virüslü olarak kabul etmelidir.
Diğer FIN7 kampanyaları
Silent Push ayrıca, ziyaretçileri bir tarayıcı uzantısı yüklemeye yönlendiren web siteleri aracılığıyla NetSupport RAT’ı bırakan paralel FIN7 kampanyalarını da tespit etti.
Diğer durumlarda FIN7, Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming ve PuTTY gibi tanınmış markaları ve uygulamaları taklit ediyor gibi görünen veriler kullanıyor.
Bu veriler, SEO taktikleri ve kötü amaçlı reklamlar kullanılarak kurbanlara dağıtılabilir ve onları truva atı haline getirilmiş yükleyicileri indirmeye kandırabilir.
FIN7’nin yakın zamanda özel “AvNeutralizer” EDR öldürme aracını diğer siber suçlulara sattığı, kimlik avı saldırılarında otomobil üreticilerinin BT personelini hedef aldığı ve kuruluşlara yönelik saldırılarda Cl0p fidye yazılımını kullandığı ortaya çıktı.