Fin7 использует фальшивые сайты для кибератак и кражи данных.
Исследователи компании Silent Push обнаружили новую схему мошенничества, связанную киберпреступной группой Fin7. Злоумышленники создали несколько сайтов, якобы предлагающих услуги по созданию фейковых обнаженных фотографий с помощью искусственного интеллекта. На самом деле эти ресурсы предназначены для распространения вредоносного ПО, крадущего учетные данные пользователей.
Эксперты выявили семь различных сайтов, рекламирующих себя как сервисы для создания дипфейков или обнаженных изображений. Большинство из них использует название «AINude.AI» с небольшими вариациями в доменных именах. Сайты-ловушки внешне не отличаются от легальных ресурсов, предлагающих подобные услуги. Они имеют схожий дизайн интерфейса и набор функций.
Некоторые из фальшивых сайтов даже позволяют загружать изображения, создавая у пользователей иллюзию работы сервиса. После загрузки фотографии сайт предлагает скачать результат, якобы содержащий «обнаженную» версию изображения. Однако вместо обещанного контента пользователь получает вредоносное ПО RedLine, которое в настоящее время считается наиболее распространенным инфостилером.
RedLine, попав на компьютер жертвы, похищает информацию, хранящуюся в браузере, включая учетные данные для входа и данные криптовалютных кошельков. Таким образом, злоумышленники получают доступ к конфиденциальной информации пользователей.
По словам Зака Эдвардса, старшего аналитика угроз Silent Push, целевой аудиторией мошенников являются преимущественно мужчины, интересующиеся новейшими технологиями и криптовалютами. Злоумышленники рассчитывают, что потенциальные жертвы не станут обращаться в правоохранительные органы из-за сомнительного характера сервиса, которым пытались воспользоваться.
После обращения журналистов 404 Media компания Hostinger, предоставлявшая услуги регистрации доменов для большинства фальшивых сайтов, заблокировала доступ к ним. Однако угроза остается актуальной, так как один из ресурсов Fin7 был включен в список рекомендуемых сайтов на крупном агрегаторе порноконтента.
Группировка Fin7 известна своим профессиональным подходом к организации киберпреступлений. Она использует корпоративное программное обеспечение, такое как Hipchat для проведения собеседований с новобранцами и JIRA для отслеживания задач. Ранее Fin7 даже создавала фиктивные компании для найма специалистов по тестированию на проникновение, которые впоследствии невольно участвовали в преступных операциях.
Несмотря на аресты нескольких участников группировки в 2018 и 2020 годах, Fin7 продолжает активную деятельность. В этом году компания SentinelOne обнаружила, что инструмент, разработанный Fin7 для обхода систем безопасности, рекламируется в криминальных кругах и используется различными группами, занимающимися распространением программ-вымогателей.
Ранее Apple и Google блокировали доступ к сайтам, связанным с Fin7, через свои браузеры. Однако вредоносные ресурсы, обнаруженные в ходе последнего исследования, были доступны как в Chrome, так и в Safari. Представители обеих компаний заявили, что изучают ситуацию.
Никаких овечек — только отборные научные факты