I Hacker Utilizzano Falsi Siti AI ‘Nudify’ per Diffondere Malware

Un rapporto di 404 Media pubblicato oggi ha rivelato che una rete di siti “nudify” basati sull’intelligenza artificiale, che sostengono di spogliare le foto utilizzando l’intelligenza artificiale, è in realtà gestita dal noto gruppo di cybercriminali russi Fin7.

Questi siti web sono facciate per la distribuzione di malware, mirando in particolare le credenziali di accesso degli utenti e i portafogli di criptovalute.

Secondo i ricercatori della società di cybersecurity Silent Push, i siti di Fin7 sono progettati per sembrare altri popolari siti di contenuti non consensuali generati da AI.

Tuttavia, invece di produrre immagini alterate, infettano i sistemi degli utenti con RedLine, un tipo di malware noto per rubare informazioni sensibili dai browser web, come segnalato da 404 Media.

RedLine è attualmente tra le forme più diffuse di malware infostealer, secondo la società di cybersecurity RecordedFuture, come riportato da 404 Media.

I risultati sottolineano l’attrattiva crescente degli strumenti deepfake generati da IA, che ora vengono sfruttati dagli hacker per intrappolare le vittime.

Fin7, che è stato collegato a importanti attacchi informatici in tutto gli Stati Uniti, sta utilizzando questi siti come un nuovo metodo per distribuire malware.

Zach Edwards, un analista senior delle minacce presso Silent Push, ha detto a 404 Media che queste piattaforme attirano un particolare gruppo demografico.

“Stanno cercando persone che stanno facendo cose borderline losche per cominciare, e poi hanno malware pronti da servire a quelle persone che stanno cercando attivamente qualcosa di losco,” ha spiegato Edwards sulla strategia di Fin7.

Questo approccio è efficace, ha aggiunto, perché le vittime sono poco propense a denunciare gli attacchi alle autorità a causa della natura illecita delle loro attività. Oltre a creare honeypot e ad attirare gli utenti, ci vuole uno sforzo minimo per infettarli.

404 Media ha scoperto che uno di questi siti web gestiti da Fin7 era elencato su un importante aggregatore di siti porno, aumentando così la base potenziale di vittime. L’aggregatore, frequentemente visitato da persone alla ricerca di piattaforme per la condivisione di immagini non consensuali, ha aiutato a indirizzare gli utenti ignari verso i domini infetti dal malware di Fin7.

In risposta alle domande di 404 Media, Hostinger, il registrar di dominio per la maggior parte dei siti fraudolenti, ha bloccato l’accesso a questi domini.

404 Media sottolinea che Fin7 ha una lunga storia di sofisticati cyberattacchi, tra cui la creazione di false aziende di penetration testing per ingannare le vittime a hackerare per loro conto.

Nonostante le affermazioni del Dipartimento di Giustizia degli Stati Uniti dello scorso anno che “Fin7 come entità non esiste più”, questa recente scoperta conferma che il gruppo è ancora attivo e sta ideando nuovi metodi per intrappolare le vittime, come rilevato da 404 Media.

Edwards presenterà tutti i risultati di Silent Push alla conferenza sulla cybersecurity di Virus Bulletin di questa settimana.