- Специальный корреспондент
Fin7 использует фальшивые сайты для кибератак и кражи данных.
Киберпреступники нашли новый способ заражения компьютеров пользователей вредоносным программным обеспечением. По данным исследования компании Silent Push, специализирующейся на кибербезопасности, хакеры создают поддельные сайты, якобы предлагающие услуги по «раздеванию» фотографий с помощью искусственного интеллекта (ИИ).
Эксперты полагают, что за этой схемой стоит хакерская группировка Fin7. Несмотря на заявление Министерства юстиции США о прекращении существования Fin7, новые данные свидетельствуют о том, что группировка продолжает активно действовать.
Сайты-ловушки внешне не отличаются от легальных ресурсов, предлагающих подобные услуги. Они имеют схожий дизайн интерфейса и набор функций. Некоторые из фальшивых сайтов даже позволяют загружать изображения, создавая у пользователей иллюзию работы сервиса.
После загрузки фотографии сайт предлагает скачать результат, якобы содержащий «обнаженную» версию изображения. Однако вместо обещанного контента пользователь получает вредоносное ПО RedLine, которое в настоящее время считается наиболее распространенным инфостилером.
RedLine, попав на компьютер жертвы, похищает информацию, хранящуюся в браузере, включая учетные данные для входа и данные криптовалютных кошельков. Таким образом, злоумышленники получают доступ к конфиденциальной информации пользователей.
Зак Эдвардс, старший аналитик угроз компании Silent Push, отмечает, что целевой аудиторией подобных сайтов являются преимущественно мужчины, интересующиеся новейшими технологиями ИИ или владеющие криптовалютными счетами. По его словам, существует определенная категория пользователей, стремящихся быть в авангарде сомнительных технологий, игнорируя при этом новые законы, касающиеся дипфейков.
Компания Hostinger, выступающая регистратором доменов для большинства поддельных сайтов, заблокировала их после получения запроса от издания 404 Media . Представители Hostinger заявили, что компания предоставляла только услуги регистрации доменов и не размещала на своей инфраструктуре какой-либо вредоносный контент.
Исследователи обнаружили, что один из сайтов, управляемых Fin7, был включен в список крупнейших агрегаторов порносайтов, что потенциально увеличивало число пользователей, подвергающихся риску заражения вредоносным ПО.
Группировка Fin7 известна своим профессиональным подходом к организации киберпреступлений. Она использует корпоративное программное обеспечение, такое как Hipchat для проведения собеседований с новобранцами и JIRA для отслеживания задач. Ранее Fin7 даже создавала фиктивные компании для найма специалистов по тестированию на проникновение, которые впоследствии невольно участвовали в преступных операциях.
Несмотря на аресты нескольких участников группировки в прошлом, Fin7 продолжает активно действовать. В этом году компания SentinelOne обнаружила, что инструмент, разработанный Fin7 для обхода систем безопасности, рекламируется в криминальных кругах и используется различными группами, занимающимися распространением программ-вымогателей.
Silent Push выявила более четырех тысяч доменов и IP-адресов, связанных с Fin7, в начале года. По последним данным, количество увеличилось вдвое.
Киберпреступники нашли новый способ заражения компьютеров пользователей вредоносным программным обеспечением. По данным исследования компании Silent Push, специализирующейся на кибербезопасности, хакеры создают поддельные сайты, якобы предлагающие услуги по «раздеванию» фотографий с помощью искусственного интеллекта (ИИ).
Эксперты полагают, что за этой схемой стоит хакерская группировка Fin7. Несмотря на заявление Министерства юстиции США о прекращении существования Fin7, новые данные свидетельствуют о том, что группировка продолжает активно действовать.
Сайты-ловушки внешне не отличаются от легальных ресурсов, предлагающих подобные услуги. Они имеют схожий дизайн интерфейса и набор функций. Некоторые из фальшивых сайтов даже позволяют загружать изображения, создавая у пользователей иллюзию работы сервиса.
После загрузки фотографии сайт предлагает скачать результат, якобы содержащий «обнаженную» версию изображения. Однако вместо обещанного контента пользователь получает вредоносное ПО RedLine, которое в настоящее время считается наиболее распространенным инфостилером.
RedLine, попав на компьютер жертвы, похищает информацию, хранящуюся в браузере, включая учетные данные для входа и данные криптовалютных кошельков. Таким образом, злоумышленники получают доступ к конфиденциальной информации пользователей.
Зак Эдвардс, старший аналитик угроз компании Silent Push, отмечает, что целевой аудиторией подобных сайтов являются преимущественно мужчины, интересующиеся новейшими технологиями ИИ или владеющие криптовалютными счетами. По его словам, существует определенная категория пользователей, стремящихся быть в авангарде сомнительных технологий, игнорируя при этом новые законы, касающиеся дипфейков.
Компания Hostinger, выступающая регистратором доменов для большинства поддельных сайтов, заблокировала их после получения запроса от издания 404 Media . Представители Hostinger заявили, что компания предоставляла только услуги регистрации доменов и не размещала на своей инфраструктуре какой-либо вредоносный контент.
Исследователи обнаружили, что один из сайтов, управляемых Fin7, был включен в список крупнейших агрегаторов порносайтов, что потенциально увеличивало число пользователей, подвергающихся риску заражения вредоносным ПО.
Группировка Fin7 известна своим профессиональным подходом к организации киберпреступлений. Она использует корпоративное программное обеспечение, такое как Hipchat для проведения собеседований с новобранцами и JIRA для отслеживания задач. Ранее Fin7 даже создавала фиктивные компании для найма специалистов по тестированию на проникновение, которые впоследствии невольно участвовали в преступных операциях.
Несмотря на аресты нескольких участников группировки в прошлом, Fin7 продолжает активно действовать. В этом году компания SentinelOne обнаружила, что инструмент, разработанный Fin7 для обхода систем безопасности, рекламируется в криминальных кругах и используется различными группами, занимающимися распространением программ-вымогателей.
Silent Push выявила более четырех тысяч доменов и IP-адресов, связанных с Fin7, в начале года. По последним данным, количество увеличилось вдвое.
