Los Hackers Utilizan Falsos Sitios de IA ‘Desnudificar’ Para Propagar Malware

Un informe de 404 Media publicado hoy ha revelado que una red de sitios web de “desnudificación” basados en inteligencia artificial, que afirman desvestir fotos usando inteligencia artificial, en realidad está siendo operada por el notorio grupo de ciberdelincuentes rusos Fin7.

Estos sitios web son fachadas para distribuir malware, apuntando particularmente a las credenciales de inicio de sesión de los usuarios y las carteras de criptomonedas.

Según investigadores de la empresa de ciberseguridad Silent Push, los sitios de Fin7 están diseñados para parecerse a otros sitios populares de contenido no consensuado generado por IA.

Sin embargo, en lugar de producir imágenes alteradas, infectan los sistemas de los usuarios con RedLine, un tipo de malware conocido por robar información sensible de los navegadores web, según lo señalado por 404 Media.

RedLine se encuentra actualmente entre las formas más prevalentes de malware de robo de información, según la firma de ciberseguridad RecordedFuture, tal como informa 404 Media.

Los hallazgos subrayan el creciente atractivo de las herramientas de deepfake generadas por IA, que ahora están siendo explotadas por los hackers para atrapar a sus víctimas.

Fin7, que ha sido vinculado a importantes ciberataques en todo EE. UU., está utilizando estos sitios como un nuevo método de distribución de malware.

Zach Edwards, un analista de amenazas senior en Silent Push, dijo a 404 Media que estas plataformas atraen a un grupo demográfico específico.

“Están buscando personas que están haciendo cosas sospechosas desde el principio, y luego tienen malware listo para ofrecer a aquellas personas que están buscando activamente algo sospechoso”, explicó Edwards sobre la estrategia de Fin7.

Este enfoque es efectivo, añadió, porque es poco probable que las víctimas denuncien los hackeos a las autoridades debido a la naturaleza ilícita de sus actividades. Más allá de establecer trampas y atraer a los usuarios, se necesita un esfuerzo mínimo para infectarlos.

404 Media descubrió que uno de estos sitios web operados por Fin7 estaba listado en un importante sitio agregador de pornografía, aumentando su potencial base de víctimas. El sitio agregador, que es visitado frecuentemente por personas en busca de plataformas de intercambio de imágenes no consensuadas, ayudó a dirigir a usuarios desprevenidos a los dominios infectados con malware de Fin7.

En respuesta a las preguntas de 404 Media, Hostinger, el registrador de dominios para la mayoría de los sitios fraudulentos, bloqueó el acceso a estos dominios.

404 Media señala que Fin7 tiene un largo historial de sofisticados ciberataques, incluyendo la creación de falsas empresas de pruebas de penetración para engañar a las víctimas y hacer que hackeen en su nombre.

A pesar de las afirmaciones del Departamento de Justicia de los EE.UU. el año pasado de que “Fin7 como entidad ya no existe”, este reciente descubrimiento confirma que el grupo sigue activo e innovando nuevas formas de atrapar a las víctimas, según lo señalado por 404 Media.

Edwards presentará los hallazgos completos de Silent Push en la conferencia de ciberseguridad Virus Bulletin de esta semana.