臭名昭著的 FIN7 威胁组织正在将人工智能 (AI) 与社会工程结合起来,发起一场以成人为主题的侵略性威胁活动,该活动利用可“深度伪造”裸照的技术来诱骗人们安装信息窃取恶意软件。
强大的俄罗斯金融网络犯罪组织已经创建了至少七个网站,为所谓的“DeepNude Generator”做广告,该网站承诺使用 Deepfake 技术将任何照片转换为照片中人物的裸体代表,根据该组织的最新研究Silent Push 的威胁猎手。
人们可以通过网站下载生成器或注册“免费试用”,这证明了骗局的复杂性。但研究人员表示,他们最终没有收到该工具,而是下载了恶意负载,例如窃取程序 Lumma 和 Redline,这些负载可用于传播勒索软件等更多恶意软件。
鉴于挑衅性的诱惑,组织很容易受到该活动的影响,因为它可能会诱使毫无戒心的员工下载恶意文件。根据有关该研究的博客文章,“这些文件可能会通过信息窃取程序直接破坏凭据,或用于部署勒索软件的后续活动”。
与此同时,FIN7 还继续推广现有的恶意广告活动,该活动针对企业用户,引诱 SAP Concur、微软、汤森路透和 FINVIZ 股票筛选等热门品牌的内容,以传播 NetSupport RAT 和 .MSIX 恶意软件。无声推动。研究人员发现了许多活跃的 IP,从而发现了托管该策略的“活跃的新网站”,该策略要求人们下载虚假的“所需浏览器扩展”(实际上是恶意负载)来查看与品牌相关的内容。
DeepNude Generator 活动展示了 FIN7 特别复杂的思想和规划,该组织开发了至少七个专用网站 URL,例如 aiNude[.]ai、easynude[.]website 和 ai-nude[.]cloud,以使其显得令人信服。
还有证据表明,FIN7 正在采用搜索引擎优化 (SEO) 来保持用户参与度,并通过使用其网站上“最佳色情网站”的页脚链接来提高其蜜罐在搜索结果中的排名。这些链接将受害者引导至其他带有相同诱惑的恶意网站。
此外,该团队还投入精力创建了两个网站版本来推广 Deepfake 工具。第一个涉及 DeepNude Generator“免费下载”,第二个为网站访问者提供 DeepNude Generator“免费试用”,每个都有不同的攻击流程。
根据 Silent Push 的说法,第一个使用“简单的用户流程”,使用“免费下载”链接将用户引导至具有 Dropbox 链接的新域或托管恶意负载的其他来源。
第二个攻击流程提示用户通过“免费试用”按钮上传图像来测试生成器。如果完成此操作,接下来会提示用户试用版已准备好下载消息,并弹出相应的弹出窗口,要求用户回答问题:“该链接仅供个人使用,您同意吗?”
据 Silent Push 称,“如果用户同意并点击‘下载’,他们就会收到一个带有恶意负载的 .zip 文件”,该文件会导致 Lumma Stealer,并使用 DLL 侧面加载技术来执行。这两项活动表明,FIN7 是一个网络犯罪集团,也称为 Carbanak、Carbon Spider、Cobalt Group 和 Navigator Group,自 2012 年以来一直活跃,尽管执法部门多次尝试将其关闭,或至少显着关闭,但该组织仍然是迫在眉睫的威胁扰乱它。研究人员表示,这还表明该组织顽强地利用现代技术和心理策略不断发展,以创造更复杂的方式来传播恶意软件。
事实上,FIN7 长期以来以其恶意软件和社会工程的精明结合而闻名,对全球组织发起了一系列成功的、出于经济动机的攻击,这些攻击为犯罪企业带来了超过 12 亿美元的损失。
为了帮助组织应对来自 FIN7 和其他有组织网络犯罪团体的威胁,根据该团体的策略、技术和程序 (TTP) 开发攻击指标是一种方法。此外,培训员工了解威胁团体使用的这些日益复杂的社会工程策略,并阻止将任何未知的任何文件从互联网下载到连接到公司网络的计算机上,也可以帮助企业避免复杂的威胁活动造成的损害。