WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
446 bài viết
Nhóm hacker FIN7 tung nhiều trang web tạo ảnh Nude Deepfake phát tán phần mềm độc hại
Nhóm tin tặc APT khét tiếng có tên FIN7 đã tung ra một mạng lưới các trang web tạo deepnude giả mạo chạy bằng AI để lây nhiễm phần mềm độc hại đánh cắp thông tin cho người truy cập.
FIN7, nhóm hacker hoạt động từ năm 2013, có liên hệ với các băng đảng ransomware nổi tiếng như DarkSide, BlackMatter, và BlackCat, từng tấn công các tổ chức lớn và thực hiện trục lợi tài chính. Nhóm này được biết đến với các kỹ thuật phishing và social engineering tinh vi, bao gồm mạo danh nhân viên BestBuy để phát tán USB chứa mã độc, và lập các công ty bảo mật giả nhằm tuyển dụng pentester và lập trình viên cho các chiến dịch tấn công.
- Nhóm tin tặc FIN7 đã ra mắt một mạng lưới các trang web sai phạm, hứa hẹn tạo ảnh "trồng như nhận" deepfake bằng AI nhưng thực chất nhằm phát tán phần mềm độc hại. Những trang web này dụ người dùng tải lên ảnh cá nhân và cung cấp liên kết tải về các tệp ảnh deepfake.
- Khi nhấn vào liên kết, người dùng sẽ được chuyển hướng đến một trang web khác hiển thị mật khẩu và một liên kết tới một tệp nén có mật khẩu trên Dropbox. Mặc dù trang web này vẫn còn hoạt động, nhưng liên kết Dropbox không còn khả dụng.
- Thực chất liên kết trên chứa mã độc như Lumma Stealer, chuyên đánh cắp thông tin đăng nhập, cookie trình duyệt, ví tiền điện tử, và các dữ liệu nhạy cảm khác.
Mạng lưới trang web deepfake của FIN7 được quảng bá bằng SEO mũ đen để xếp hạng cao trên công cụ tìm kiếm. Các trang như "aiNude[.]ai", "easynude[.]website", và "nude-ai[.]pro" cung cấp "dùng thử miễn phí", nhưng thực tế chỉ để phát tán phần mềm độc hại. Sau khi tải ảnh lên, người dùng nhận được liên kết đến một tệp nén chứa mã độc Lumma Stealer hoặc, trong một số trường hợp khác, các phần mềm như Redline Stealer và D3F@ck Loader.
Mặc dù các trang web đã bị gỡ bỏ, những người dùng đã tải file từ chúng có nguy cơ nhiễm mã độc và cần nhanh chóng quét và xử lý hệ thống để tránh tổn thất thông tin.
FIN7, nhóm hacker hoạt động từ năm 2013, có liên hệ với các băng đảng ransomware nổi tiếng như DarkSide, BlackMatter, và BlackCat, từng tấn công các tổ chức lớn và thực hiện trục lợi tài chính. Nhóm này được biết đến với các kỹ thuật phishing và social engineering tinh vi, bao gồm mạo danh nhân viên BestBuy để phát tán USB chứa mã độc, và lập các công ty bảo mật giả nhằm tuyển dụng pentester và lập trình viên cho các chiến dịch tấn công.
- Nhóm tin tặc FIN7 đã ra mắt một mạng lưới các trang web sai phạm, hứa hẹn tạo ảnh "trồng như nhận" deepfake bằng AI nhưng thực chất nhằm phát tán phần mềm độc hại. Những trang web này dụ người dùng tải lên ảnh cá nhân và cung cấp liên kết tải về các tệp ảnh deepfake.
- Khi nhấn vào liên kết, người dùng sẽ được chuyển hướng đến một trang web khác hiển thị mật khẩu và một liên kết tới một tệp nén có mật khẩu trên Dropbox. Mặc dù trang web này vẫn còn hoạt động, nhưng liên kết Dropbox không còn khả dụng.
- Thực chất liên kết trên chứa mã độc như Lumma Stealer, chuyên đánh cắp thông tin đăng nhập, cookie trình duyệt, ví tiền điện tử, và các dữ liệu nhạy cảm khác.
Mạng lưới trang web deepfake của FIN7 được quảng bá bằng SEO mũ đen để xếp hạng cao trên công cụ tìm kiếm. Các trang như "aiNude[.]ai", "easynude[.]website", và "nude-ai[.]pro" cung cấp "dùng thử miễn phí", nhưng thực tế chỉ để phát tán phần mềm độc hại. Sau khi tải ảnh lên, người dùng nhận được liên kết đến một tệp nén chứa mã độc Lumma Stealer hoặc, trong một số trường hợp khác, các phần mềm như Redline Stealer và D3F@ck Loader.
Mặc dù các trang web đã bị gỡ bỏ, những người dùng đã tải file từ chúng có nguy cơ nhiễm mã độc và cần nhanh chóng quét và xử lý hệ thống để tránh tổn thất thông tin.
Theo BleepingComputer