Un infame grupo de amenazas con motivación financiera está atrayendo a las víctimas a una red de sitios con malware, prometiendo descargas de herramientas deepfake, según un nuevo informe de Silent Push. El proveedor de seguridad afirmó que FIN7, con sede en Rusia, que ha sido vinculado a múltiples grupos de ransomware, aloja sitios maliciosos en múltiples dominios bajo aiNude.[.]es decir, «marca». Están diseñados para atraer a usuarios de Internet que buscan aprovechar herramientas de “deepnude” deepfake para generar imágenes de desnudos a partir de fotos de personas que suben. FIN7 creó dos versiones de estos sitios web llamados «honeypot»: uno que ofrece descargas gratuitas de una herramienta ‘Deepnude Generator’ y el otro que ofrece una prueba gratuita. Al hacer clic en la oferta de «descarga gratuita», la víctima se redirigirá a un nuevo dominio con un enlace de Dropbox u otra fuente que aloje una carga útil maliciosa, aunque en el informe no queda claro exactamente qué es. Lea más sobre deepfakes: El FBI advierte sobre un aumento en los intentos de sextorsión con deepfakes Si una víctima hace clic en «prueba gratuita», se le pedirá que cargue una imagen. «Si se carga una imagen, al usuario se le muestra el mensaje ‘La prueba está lista para descargar’ que dice: ‘Acceda a materiales científicos solo para uso personal’. Una ventana emergente correspondiente requiere que el usuario responda la pregunta: ‘La El enlace es sólo para uso personal, ¿estás de acuerdo?’”, explicó Silent Push. “Si el usuario acepta y hace clic en ‘Descargar’, se le entrega un archivo zip con una carga útil maliciosa. Esta otra carga útil de FIN7 es un Lumma Stealer más clásico y utiliza una técnica de carga lateral de DLL para su ejecución”. El proveedor también ha observado que FIN7 implementa el malware Redline Stealer y el cargador de malware como servicio D3F@ck a través de esta campaña. Se cree que el grupo utiliza tácticas de SEO para que sus sitios de IA deepnude se clasifiquen en la parte superior de las listas de búsqueda. Silent Push también reveló una segunda campaña ejecutada por FIN7, diseñada para distribuir de forma encubierta malware NetSupport RAT a través de sitios similares que requieren que los visitantes instalen una extensión del navegador. Los actores de amenazas atraen a las víctimas a los sitios (que falsifican marcas conocidas como SAP Concur, Microsoft y Thomson Reuters) a través de publicidad maliciosa.