Hackers Usam Sites Falsos de IA ‘Nudify’ para Espalhar Malware

Um relatório da 404 Media publicado hoje revelou que uma rede de sites “nudify” baseados em IA, que alegam despir fotos usando inteligência artificial, está na verdade sendo operada pelo notório grupo de cibercrimes russo Fin7.

Esses sites são fachadas para distribuir malware, visando especialmente as credenciais de login dos usuários e carteiras de criptomoedas.

De acordo com pesquisadores da empresa de cibersegurança Silent Push, os sites da Fin7 são projetados para se parecerem com outros populares sites de conteúdo não consensual gerado por IA.

No entanto, em vez de produzirem imagens alteradas, eles infectam os sistemas dos usuários com o RedLine, um tipo de malware conhecido por roubar informações sensíveis de navegadores web, conforme observado pela 404 Media.

RedLine está atualmente entre as formas mais prevalentes de malware infostealer, de acordo com a empresa de cibersegurança RecordedFuture, conforme relatado pela 404 Media.

As descobertas destacam o crescente atrativo das ferramentas deepfake geradas por IA, que agora estão sendo exploradas por hackers para atrair vítimas.

O Fin7, que foi associado a grandes ciberataques nos EUA, está usando esses sites como um novo método de distribuição de malware.

Zach Edwards, um analista sênior de ameaças na Silent Push, disse à 404 Media que essas plataformas atraem um público específico.

“Eles estão procurando pessoas que estão realizando atividades duvidosas para começar e, em seguida, têm malware pronto para servir àquelas pessoas que estão ativamente procurando algo sombrio”, explicou Edwards sobre a estratégia da Fin7.

Essa abordagem é eficaz, acrescentou ele, porque as vítimas dificilmente denunciam os ataques às autoridades devido à natureza ilícita de suas atividades. Além de configurar armadilhas e atrair usuários, é necessário um esforço mínimo para infectá-los.

A 404 Media descobriu que um desses sites administrados pela Fin7 estava listado em um grande site agregador de pornografia, aumentando sua base potencial de vítimas. O site agregador, que é frequentemente visitado por pessoas em busca de plataformas de compartilhamento de imagens não consentidas, ajudou a direcionar usuários desavisados para os domínios infectados por malware da Fin7.

Em resposta a perguntas da 404 Media, a Hostinger, registradora de domínios para a maioria dos sites fraudulentos, bloqueou o acesso a esses domínios.

404 Media aponta que a Fin7 tem um longo histórico de ataques cibernéticos sofisticados, incluindo a criação de empresas falsas de teste de penetração para enganar as vítimas a hackear em seu nome.

Apesar das afirmações do Departamento de Justiça dos EUA no ano passado de que “Fin7 como entidade não existe mais”, esta recente descoberta confirma que o grupo ainda está ativo e inovando novas maneiras de capturar vítimas, conforme observado pela 404 Media.

Edwards apresentará todas as descobertas do Silent Push na conferência de cibersegurança Virus Bulletin desta semana.