Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder

Cyber-Sicherheitsexperten von Silent Push haben in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe „FIN7“ vorgestellt

[datensicherheit.de, 11.12.2024] „Vor Kurzem haben Cyber-Sicherheitsexperten von Silent Push in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe ,FIN7‘ vorgestellt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Diese Cyber-Kriminellen nutzen demnach Fake-Websites, um ihren Opfern die Nutzung KI-gestützter Nacktbildgeneratoren anzubieten. „Fallen diese auf den Köder herein, klicken sie auf einen entsprechenden Link, laden sie sich ,Infostealer’ herunter – und bringen damit, sollten sie sich gerade an ihrem Arbeitsplatz aufhalten, leicht ihr ganzes Unternehmen in Gefahr!“ Laut KnowBe4s „Industry Benchmarking Report 2024“ fallen im Schnitt knapp 33 Prozent der Angesprochenen auf solche und ähnliche bösartige „Angebote“ herein.

Foto: KnowBe4

Dr. Martin J. Krämer: Unternehmen sollten dringend weiter in die Anhebung des Cyber-Sicherheitsbewusstseins ihrer Mitarbeiter investieren!

Seit 2013 wird „FIN7“ mit komplexen Cyber-Angriffen in Zusammenhang gebracht

„FIN7“, auch bekannt als „Carbon Spider“, „ELBRUS“ und „Sangria Tempest“, sei eine „Cyber-Bedrohungsgruppe mit Verbindungen nach Russland“. Seit 2013 werde diese mit komplexen Cyber-Angriffen in Zusammenhang gebracht. Aktiv sei sie aber wahrscheinlich schon länger. Der Angriffsfokus der Gruppe liege auf einem breiten Spektrum unterschiedlicher Branchen – vom Einzelhandel und der Technologiebranche, über die Finanz- und die Medienbranche, bis hin zu Versorgungsunternehmen.

„In ihrem kürzlich vorgestellten Blogbeitrag präsentierten die ,Threat Analysts’ von Silent Push nun die neueste Angriffstaktik der Gruppe. Um ihre Opfer zum Download von ,Infostealern’ zu bewegen, tarnten sie Honeypot-Fake-Websites als Online-Oberfläche von ,Deepnude KI’-Bildgeneratoren-Anbietern.“ Mindestens sieben Fake-Websites habe die Gruppe zu diesem Zweck unterhalten. Mittlerweile seien diese auf Betreiben von Silent Push vom Netz genommen worden:

• easynude[.]website
• ai-nude[.]cloud
• ai-nude[.]click
• ai-nude[.]pro
• nude-ai[.]pro
• ai-nude[.]adult
• ai-nude[.]site

„Auf diesen Honeypot-Websites wurde Besuchern angeboten, einen KI-Bildgenerator zur Erzeugung von Nacktbildern zu nutzen. Einige Fake-Websites boten einen ‚Free Download‘ andere einen ‚Free Trial‘ an.“

Cyber-Kriminelle legen Köder aus, um letztlich Unternehmensziele anzugreifen

In ersterem Fall seien die Opfer aufgefordert worden, „ein Bild der Person hochzuladen, die sie gerne nackt sehen möchten“. Sie würden dann die Mitteilung erhalten, dass das erzeugte Bild zum Download bereitstehen würde. „Klickten sie auf den ,Free Download’-Button, wurden sie auf eine neue Domain, versehen mit einem Link zu ,Dropbox’ oder einer anderen Quelle umgeleitet, die eine ,.zip’-Datei mit bösartiger Nutzlast enthielt.“

Meist habe es sich hierbei dann um „Infostealer“ gehandelt – wie „Redline Stealer“ oder „D3F@ck Loader“, mit denen „FIN7“ Cookies, Passwörter und andere Informationen seiner Opfer habe ausspähen können – um anschließend potenzielle Unternehmensziele anzugreifen.

Opfer werden von Cyber-Kriminellen aufgefordert Fotos hochzuladen

Auch im zweiten Fall seien Opfer aufgefordert worden, „das Bild einer Person, die sie gerne nackt sehen würden, hochzuladen“. Hierzu hätten sie nun jedoch auf den Link „Free Trial“ klicken sollen. „Hatten sie ein Bild geuploadet, erhielten sie die Meldung: ,Testversion steht zum Download bereit’, versehen mit dem Zusatz ,Zugang zu wissenschaftlichen Materialien nur für den persönlichen Gebrauch’.“

Ein Pop-up sei erschienen mit der Frage „Der Link ist nur für den persönlichen Gebrauch bestimmt, sind Sie damit einverstanden?“. „Wenn der Nutzer zustimmte und auf ,Herunterladen’ klickte, erhielt er wieder eine ,.zip’-Datei, wieder versehen mit einer bösartigen Nutzlast“, erläutert Dr. Krämer. Auch hierbei habe es sich dann wieder um einen „Infostealer“ gehandelt – diesmal aber um einen „Lumma Stealer“.

Sämtliche Nutzer des Firmennetzwerkes sollten in Fragen der Cyber-Sicherheit stets auf dem neusten Stand gehalten werden!

Nach der Entdeckung dieser Honeypot-Websites hätten die „Threat Analysts“ von Silent Push rasch für deren „Takedown“ gesorgt. „Derzeit sind die Seiten offline.“ Es sei aber wahrscheinlich, dass – falls nicht schon geschehen – bald neue Webseiten nach ähnlichem Muster online gehen würden.

Unternehmen könne deshalb nur dringend geraten werden, weiter und weiter in die Anhebung des Cyber-Sicherheitsbewusstseins ihrer Mitarbeiter zu investieren. Dr. Krämer empfiehlt abschließend: „Regelmäßige Schulungen und Trainings sind unerlässlich, will man sicherstellen, dass sämtliche Nutzer des Firmennetzwerkes in Punkto Cyber-Sicherheit stets auf dem neusten Stand gehalten werden und nicht auf Honeypots, wie den hier vorgestellten, hereinfallen.“

Weitere Informationen zum Thema:

WikipediA
FIN7

KnowBe4
2024 Phishing By Industry Benchmarking Report / Find out how you are doing compared to your peers of similar size

malpedia FRAUNHOFER FKIE
Lumma Stealer / aka: LummaC2 Stealer

malpedia FRAUNHOFER FKIE
RedLine Stealer / aka: RECORDSTEALER

SILENT PUSH, 02.10.2024
FIN7 hosting honeypot domains with malicious AI Generators – New Silent Push research