FIN7 के नाम से कुख्यात APT हैकिंग समूह ने सूचना चुराने वाले मैलवेयर से आगंतुकों को संक्रमित करने के लिए नकली AI-संचालित डीपन्यूड जनरेटर वेबसाइटों का एक समुदाय लॉन्च किया है।
माना जाता है कि FIN7 एक रूसी हैकिंग समूह है जो 2013 से वित्तीय धोखाधड़ी और साइबर अपराध कर रहा है, जिसका संबंध डार्कसाइड, ब्लैकमैटर और ब्लैककैट जैसे रैनसमवेयर गिरोहों से है, जिन्होंने हाल ही में यूनाइटेडहेल्थ के 20 मिलियन डॉलर के फिरौती भुगतान को चुराने के बाद एक एग्जिट स्कैम किया था।
FIN7 अपने सूक्ष्म फ़िशिंग और सोशल इंजीनियरिंग हमलों के लिए जाना जाता है, जैसे कि दुर्भावनापूर्ण USB कुंजियाँ भेजने के लिए BestBuy का प्रतिरूपण करना या बिना उन्हें पता चले रैनसमवेयर हमलों के लिए पेंटेस्टर और बिल्डरों को किराए पर लेने के लिए एक नकली सुरक्षा कंपनी बनाना।
इसलिए यह पता लगाना आश्चर्यजनक नहीं है कि वे अब AI-संचालित डीपन्यूड मिलों को बेचने वाली इंटरनेट साइटों के एक जटिल समुदाय से जुड़े हुए हैं जो कपड़े पहने लोगों की तस्वीरों के नकली नग्न संस्करण बनाने का दावा करते हैं।
यह तकनीक विवादास्पद रही है क्योंकि यह गैर-सहमति वाली एक्सप्रेस तस्वीरें बनाकर थीम को नुकसान पहुंचा सकती है, और इसे दुनिया के कई स्थानों पर गैरकानूनी भी घोषित किया गया है। फिर भी, इस तकनीक पर उत्सुकता बनी हुई है।
डीपन्यूड मिल्स का एक समुदाय
FIN7 की नकली डीपन्यूड वेबसाइटें मशहूर हस्तियों या अन्य लोगों की डीपफेक नग्न तस्वीरें बनाने में शामिल लोगों के लिए हनीपोट्स का काम करती हैं। 2019 में, जोखिम वाले अभिनेताओं ने AI विस्फोट से पहले भी सूचना-चोरी करने वाले मैलवेयर को फैलाने के लिए इसी तरह के लालच का इस्तेमाल किया था।
डीपन्यूड मिल्स का समुदाय समान “AI न्यूड” मॉडल के तहत काम करता है और वेबसाइटों को खोज परिणामों में उच्च रैंक देने के लिए ब्लैक हैट सर्च इंजन ऑप्टिमाइज़ेशन तकनीकों के माध्यम से प्रचारित किया जाता है।
साइलेंट पुश के आधार पर, FIN7 ने तुरंत “aiNude[.]ai”, “easynude[.]web site”, और nude-ai[.]professional” जैसी वेबसाइटें संचालित कीं, जो “मुफ़्त परीक्षण” या “मुफ़्त डाउनलोड” प्रदान करती थीं, हालाँकि वास्तव में केवल मैलवेयर फैलाती थीं।
सभी वेबसाइट एक समान डिज़ाइन का उपयोग करती हैं जो किसी भी अपलोड की गई तस्वीर से मुफ़्त AI डीपन्यूड फ़ोटो बनाने की सुविधा की गारंटी देती है।
FIN7 की हनीपोट साइटों में से एक
FIN7 की AI न्यूड हनीपोट वेबसाइटों में से एक
आपूर्ति: साइलेंट पुश
नकली वेबसाइटें ग्राहकों को डीपफेक न्यूड बनाने के लिए अपनी पसंद की तस्वीरें जोड़ने देती हैं। हालाँकि, कथित “डीपन्यूड” बनने के बाद, यह डिस्प्ले स्क्रीन पर प्रदर्शित नहीं होता है। इसके बजाय, उपभोक्ता को उत्पन्न तस्वीर प्राप्त करने के लिए हाइपरलिंक पर क्लिक करने के लिए प्रेरित किया जाता है।
ऐसा करने से उपभोक्ता एक अलग वेबसाइट पर पहुँच जाएगा जो ड्रॉपबॉक्स पर होस्ट किए गए पासवर्ड-संरक्षित संग्रह के लिए एक पासवर्ड और हाइपरलिंक दिखाता है। जब तक यह वेबसाइट चालू है, तब तक ड्रॉपबॉक्स हाइपरलिंक अब काम नहीं करता।
दुर्भावनापूर्ण पेलोड वितरित करने के लिए उपयोग की जाने वाली वेबसाइट
आपूर्ति: ब्लीपिंगकंप्यूटर
फिर भी, डीपन्यूड तस्वीर के बजाय, संग्रह संग्रह में लुम्मा स्टीलर सूचना-चोरी करने वाला मैलवेयर शामिल है। निष्पादित होने पर, मैलवेयर नेट ब्राउज़र, क्रिप्टोक्यूरेंसी वॉलेट और पीसी से अन्य डेटा में सहेजे गए क्रेडेंशियल और कुकीज़ चुरा लेगा।
साइलेंट पुश ने कुछ वेबसाइटों को होम विंडोज के लिए डीपन्यूड तकनीक प्रोग्राम बेचने के लिए भी देखा जो इसके बजाय रेडलाइन स्टीलर और D3F@ck लोडर को तैनात करेगा, जिसका उपयोग समझौता किए गए उपकरणों से डेटा चोरी करने के लिए भी किया जाता है।
साइलेंट पुश द्वारा पता लगाई गई सभी सात वेबसाइटों को तब से हटा दिया गया है, हालाँकि जिन ग्राहकों ने उनसे जानकारी डाउनलोड की हो सकती है, उन्हें खुद को संक्रमित समझना चाहिए।
विभिन्न FIN7 अभियान
साइलेंट पुश ने समानांतर FIN7 अभियानों की भी पहचान की जो वेब साइटों के माध्यम से नेटसपोर्ट RAT को छोड़ रहे हैं जो आगंतुकों को ब्राउज़र एक्सटेंशन स्थापित करने के लिए प्रेरित करते हैं।
पीड़ितों को नेटसपोर्ट वितरित करने वाली वेबसाइट
पीड़ितों को नेटसपोर्ट वितरित करने वाली वेबसाइट
आपूर्ति: साइलेंट पुश
विभिन्न परिस्थितियों में, FIN7 ऐसे पेलोड का उपयोग करता है जो कैनन, ज़ूम, फ़ोर्टनाइट, फ़ोर्टिनेट वीपीएन, रेज़र गेमिंग और पुटी जैसे प्रसिद्ध निर्माताओं और कार्यों को धोखा देते प्रतीत होते हैं।
विभिन्न FIN7 पेलोड
अनेक FIN7 पेलोड
आपूर्ति: साइलेंट पुश
ये पेलोड खोज इंजन अनुकूलन तकनीकों और मालवर्टाइज़िंग का उपयोग करके पीड़ितों को वितरित किए जा सकते हैं, उन्हें ट्रोजनाइज़ किए गए इंस्टॉलर डाउनलोड करने के लिए धोखा दिया जा सकता है।
FIN7 को हाल ही में विभिन्न साइबर अपराधियों को अपने कस्टमाइज़ किए गए “एवन्यूट्रलाइज़र” EDR किलिंग टूल को बढ़ावा देने, फ़िशिंग हमलों में कार निर्माताओं के IT कर्मचारियों को लक्षित करने और संगठनों के खिलाफ़ हमलों में Cl0p रैनसमवेयर तैनात करने के लिए उजागर किया गया था।
