Исследователи в области кибербезопасности обнаружили сеть сайтов, обещающих пользователям создать обнажённые изображения с помощью искусственного интеллекта (так называемые сервисы «AI Nudify», где домены на каждом из них немного отличаются). Однако вместо выполнения заявленных функций эти сайты заражают компьютеры пользователей мощным вредоносным программным обеспечением, способным красть конфиденциальные данные. Анализ показал, что за этими сайтами стоит известная киберпреступная группировка Fin7.

Как работает схема

Сайты, использующие название AINude.AI, предлагают пользователям загрузить фотографию, которую затем якобы преобразуют в обнажённое изображение с помощью технологий искусственного интеллекта. После загрузки изображения пользователю предлагается скачать «пробную версию материалов только для личного использования». Однако вместо желаемого изображения пользователь получает файл, содержащий вредоносное ПО RedLine Stealer.

Это вредоносное программное обеспечение способно похищать данные из браузера жертвы, включая логины, пароли и информацию о криптовалютных кошельках. По данным компании RecordedFuture, RedLine является одним из самых распространённых видов вредоносного ПО для кражи информации на сегодняшний день.

Эксперты из компании Silent Push, специализирующейся на кибербезопасности, уверены, что за этой схемой стоит группировка Fin7. Она уже известна своей профессиональной организацией и сложными киберпреступными операциями. Ранее Fin7 создавала подставные компании, чтобы привлекать специалистов по кибербезопасности в качестве невольных участников своих незаконных действий.

«Аудитория ИИ-дипфейков может состоять в основном из мужчин, среди которых есть и те, кто использует другие программы или имеет криптовалютные счета», – отмечает Зак Эдвардс, старший аналитик по угрозам компании Silent Push, специализирующейся на кибербезопасности. «Есть определённый тип аудитории, которая хочет быть на острие крипи-технологий (игнорируя новые законы о дипфейках), и которая активно ищет ПО для генерации обнажённых натур с помощью ИИ».

Распространение и последствия

Сайты Fin7 продвигались через крупные агрегаторы «сайтов для взрослых», что увеличило их аудиторию и потенциальное число жертв. Пользователи, ищущие подобные сервисы, могли случайно попасть на эти вредоносные сайты и заразить свои устройства.

Зах Эдвардс, старший аналитик угроз в Silent Push, отметил, что киберпреступники нацеливаются на пользователей, которые уже ищут сомнительный контент. Такие пользователи менее вероятно обратятся в полицию в случае взлома, что делает их привлекательной целью для хакеров.

После обнаружения этой схемы доменные регистраторы заблокировали связанные с ней домены. Кроме того, были удалены ссылки для загрузки вредоносного ПО с Dropbox, куда хакеры выкладывали свои «дистрибутивы».

Заключение

Несмотря на некоторые неудачи в прошлом, Fin7 снова набирает обороты. В этом году компания SentinelOne, специализирующаяся на кибербезопасности, обнаружила, что разработанный ими инструмент для обхода средств защиты рекламируется в криминальном подполье и используется несколькими группами создающих вирусы-вымогатели. Ранее в этом году было обнаружено более четырёх тысяч доменов и IP-адресов, связанных с Fin7.

Случай с сайтами «AI Nudify» демонстрирует, как киберпреступники используют современные технологии и социальные тенденции для распространения вредоносного ПО. Пользователям важно быть бдительными и осведомлёнными о потенциальных угрозах, чтобы защитить свои данные и устройства от киберугроз.

Ещё по теме: