FIN7 Hacker Grubu, Sahte Çıplak Görüntü Üreten Sitelerle Zararlı Yazılım Yaymaya Başladı
Siber güvenlik dünyasında tanınan ve tehlikeli bir grup olan FIN7, sahte yapay zeka destekli "deepnude" görüntü üreten siteler ağı oluşturarak ziyaretçileri bilgi çalan zararlı yazılımlar ile enfekte ediyor.
FIN7'nin Rusya merkezli bir hacker grubu olduğuna inanılıyor. 2013'ten bu yana mali dolandırıcılık ve siber suçlar ile faaliyet gösteren grup, DarkSide, BlackMatter ve BlackCat gibi fidye yazılımı çeteleriyle bağlantılı. Bu fidye yazılımı çeteleri, kısa süre önce 20 milyon dolarlık UnitedHealth fidye ödemesini çaldıktan sonra bir dolandırıcılık yaparak ortadan kayboldu.
FIN7, sofistike oltalama ve sosyal mühendislik saldırılarıyla biliniyor. Örneğin, geçmişte BestBuy gibi şirketleri taklit ederek zararlı USB anahtarları gönderdi ya da sahte bir güvenlik şirketi kurarak bilmeden fidye yazılımı saldırıları için pentester ve geliştiriciler işe aldı.
Son olarak, FIN7'nin şimdi AI destekli sahte "deepnude" görüntü üreten bir dizi web sitesine bağlı olduğu ortaya çıktı. Bu siteler, giyinik kişilerin çıplak hallerini oluşturduğunu iddia eden sahte yapay zeka hizmetleri sunuyor.
Sahte "Deepnude" Siteleri ile Tuzak Kuruyorlar
FIN7'nin sahte deepnude siteleri, ünlülerin ya da diğer kişilerin deepfake çıplak görüntülerini oluşturmak isteyen kişileri hedef alıyor. Benzer bir yöntem, 2019'da da bilgi çalan zararlı yazılımları yaymak için kullanılmıştı.
Silent Push tarafından tespit edilen bu sahte siteler, "AI Nude" markası altında çalışıyor ve blackhat SEO taktikleri kullanarak arama sonuçlarında üst sıralarda yer alıyor. "aiNude[.]ai", "easynude[.]website" ve "nude-ai[.]pro" gibi siteler, "ücretsiz deneme" veya "ücretsiz indirme" vaatleri sunarak kullanıcıları zararlı yazılım indirmeye yönlendiriyor.
Kullanıcılar bir fotoğraf yükleyip deepfake çıplak görüntü oluşturmayı denediğinde, görüntü ekranda gösterilmiyor. Bunun yerine, kullanıcıya üretilen görüntüyü indirmek için bir bağlantıya tıklamaları gerektiği söyleniyor. Bu bağlantıya tıkladıklarında, şifre korumalı bir arşivin yer aldığı bir Dropbox bağlantısına yönlendiriliyorlar. Ancak bu arşiv, deepnude görüntüsü yerine Lumma Stealer adlı bilgi çalan zararlı yazılımı içeriyor. Yazılım çalıştırıldığında, web tarayıcılarında kaydedilmiş kimlik bilgilerini, çerezleri, kripto para cüzdanlarını ve bilgisayardan diğer verileri çalıyor.
Ayrıca bazı siteler, Windows için deepnude oluşturma programı sunduğunu iddia ederek, bunun yerine Redline Stealer ve D3F@ck Loader gibi zararlı yazılımları bilgisayara yükleyerek bilgi çalıyor.
Diğer FIN7 Kampanyaları
Silent Push ayrıca FIN7'nin NetSupport RAT adlı zararlı yazılımı yaydığı başka kampanyalar da tespit etti. Bu kampanyalarda, ziyaretçilere bir tarayıcı uzantısı yüklemeleri öneriliyor.
FIN7, Canon, Zoom, Fortnite, Fortinet VPN, Razer Gaming ve PuTTY gibi ünlü markaları ve uygulamaları taklit eden zararlı yazılımlarını dağıtmak için SEO taktikleri ve kötü niyetli reklamcılık (malvertising) kullanarak kurbanları kandırıyor.
Grup ayrıca özel "AvNeutralizer" adlı güvenlik yazılımı etkisizleştirme aracını diğer siber suçlulara sattı ve araba üreticilerinin IT personellerini hedef alan oltalama saldırıları düzenledi.
Kullanıcılar, bu tür sahte sitelerden indirme yapmışlarsa cihazlarını zararlı yazılımlara karşı taramalı ve gerekli güvenlik önlemlerini almalılar.