FIN7 (aka Carbon Spider, Sangria Tempest), связан с сетью поддельных сайтов-генераторов глубокой обнаженной натуры, созданных с помощью искусственного интеллекта и предназначенных для заражения посетителей вредоносным ПО, похищающим информацию. Эти сайты, которые утверждают, что создают поддельные изображения обнаженных людей, на самом деле являются медовыми точками, распространяющими такие вредоносные программы, как Lumma Stealer, Redline Stealer и D3F@ck Loader, которые крадут учетные данные, куки и другие данные со взломанных устройств.
Carbon Spider (FIN7) APT
В прошлом группа использовала сложные тактики фишинга и социальной инженерии, включая рассылку вредоносных USB-носителей и создание фальшивой компании безопасности для вербовки неизвестных пентестеров и разработчиков для атак с использованием выкупного ПО. Поддельные сайты с глубоким обнажением, работающие под брендом «AI Nude», продвигались с помощью тактики «черной шляпы» SEO, чтобы оказаться на высоких позициях в результатах поиска. Silent Push выявил прямые операции FIN7 на таких сайтах, как «aiNude[.]ai», «easynude[.]website» и «nude-ai[.]pro», предлагающих «бесплатные испытания» или «бесплатные загрузки», которые вели к распространению вредоносного ПО.
Пользователей обманом заставляли загружать фотографии, а затем предлагали скачать защищенный паролем архив из Dropbox, который содержал вредоносную программу вместо изображения. Хотя эти семь сайтов уже удалены, пользователи, которые с ними взаимодействовали, должны считать свои устройства взломанными. Кроме того, FIN7 распространяет NetSupport RAT через веб-сайты, предлагающие посетителям установить расширение для браузера, а также с помощью троянских инсталляторов, подделывающихся под известные бренды и приложения, для распространения различных полезных нагрузок.
Indicators of Compromise
Domains
- ai-nude.adult
- ai-nude.click
- ai-nude.cloud
- ai-nude.pro
- easynude.website
- nude-ai.pro
SHA256
- 7e5d91f73e89a997a7caa6b111bbd0f9788aa707ebf6b7cbe2ad2c01dffdc15d
