Les cybercriminels du gang FIN7 ont mis au point un vaste réseau de faux générateurs de deepfakes. Comme le rapportent les chercheurs de Silent Push, ces plateformes proposent aux internautes de réaliser des images de nus en se servant de l’intelligence artificielle. Elles se concentrent sur la création de photos de nus montrant des célébrités, comme des stars du cinéma ou de la chanson.
Les chercheurs ont identifié au « moins sept sites Web » taillés pour appâter les internautes qui se sont lancés à la recherche d’un « générateur AI Deepnude » sur les moteurs de recherche. Tous les sites affichaient la mention AI Nude dans leur interface. Par ailleurs, tous les sites s’appuient sur un design similaire.
« Les cybercriminels dissimulent désormais leurs malwares dans des applications prétendument basées sur l’IA, hébergées sur des sites facilement accessibles. Dans ce cas spécifique, l’infostealer cible les utilisateurs intéressés par des applications d’IA éthiquement douteuses, exploitant ainsi la curiosité malsaine de certains internautes », explique Benoit Grunemwald, expert cybersécurité chez ESET France, à 01Net.
À lire aussi : McAfee annonce le « premier détecteur automatique au monde » de deepfake
De faux générateurs avec IA
Les experts ont notamment épinglé des sites appelés aiNude[.]ai, easynude[.]website et nude-ai[.]pro au cours de leurs investigations. Les plateformes proposaient toujours des essais gratuits ou des téléchargements sans frais dans l’espoir d’attirer les utilisateurs. Pour générer le deepfake, les sites demandent à l’internaute de lui fournir une image montrant une personne. Ensuite, le site indique utiliser l’IA pour déshabiller numériquement la personne.
Ces sites web sont uniquement conçus pour propager des malwares sur les ordinateurs des visiteurs. Au lieu de fournir l’image de nu demandée, les sites vont mettre en avant un lien qui permet prétendument de télécharger le fichier. Ce lien redirige l’utilisateur vers un autre site. Celui-ci fournit un lien vers une archive protégée par mot de passe sur Dropbox. Les pirates donnent également le mot de passe de l’archive pour que les victimes puissent l’ouvrir.
Ce n’est pas la première fois que des cybercriminels surfent sur l’explosion des deepfakes pour propager des logiciels malveillants. En 2019, des hackers avaient déjà mis sur pied de fausses versions de l’application DeepNude, qui génère des photos de nus avec l’IA, pour piéger les internautes.
Des virus à l’assaut de vos données
Parmi les virus utilisés par FIN7, on trouve surtout Lumma Stealer, Redline Stealer et D3F@ck Loader. Ces virus sont programmés pour voler les informations sur les ordinateurs des utilisateurs. Les malwares visent essentiellement des données sensibles, comme des coordonnées bancaires ou des identifiants. Cette opération s’inscrit dans le cadre d’une véritable explosion des attaques reposant sur des infostealers, des malwares taillés pour voler les données des internautes. Ces « malwares peuvent rapidement exfiltrer des données sensibles telles que les identifiants, des wallets de cryptomonnaies et d’autres informations personnelles en un temps record », nous explique ESET. Les virus utilisés par FIN7 exfiltrent aussi tous les cookies, ce qui est très utile pour
L’an dernier, près de dix millions d’appareils ont été infectés par des infostealers dans le monde, selon les estimations de Kaspersky. Le nombre d’infections représente une hausse de 643 % en l’espace de trois ans. Pour Benoit Grunemwald, la croissance des infostealers est « particulièrement préoccupante ». Ces informations, une fois siphonnées par les pirates, sont ensuite « utilisées ou revendues sur l’internet sombre pour commettre des attaques plus sophistiquées ». C’est pourquoi on trouve bien souvent une infection par un infostealer à l’origine des plus importantes cyberattaques et fuites de données.
Les malwares de type infostealers sont d’ailleurs à l’origine de l’un des plus grands piratages de l’année 2024. Les pirates ont réussi à récupérer les identifiants de centaines de clients de Snowflake, un géant du cloud. Grâce à ces identifiants, ils ont compromis les comptes de plus de 150 entreprises, accédant ainsi à leurs données confidentielles stockées en ligne.
Des tactiques pour manipuler Google
Pour mettre en avant les sites piégés sur Google, les cybercriminels s’appuient sur des tactiques de référencement SEO dites Black Hat. Il s’agit d’un ensemble de techniques de référencement utilisées pour manipuler les moteurs de recherche afin d’améliorer artificiellement le classement d’un site web. C’est pourquoi il ne faut pas accorder automatiquement sa confiance à un site bien référencé sur Google. De même, il faut rester prudent avec les publicités affichées sur Google. Elles peuvent aussi renfermer un malware.
Apparu en 2013, le gang russe FIN7 est connu pour ses attaques complexes et pour sa capacité à adapter ses techniques en fonction de ses cibles. Proche de gangs de ransomwares comme BlackCat, il cible principalement les entreprises du secteur financier, de la vente au détail, de l’hôtellerie et de la restauration. Pour mener ses opérations, il s’appuie surtout sur des tactiques d’ingénierie sociale. Comme le rappelle Bleeping Computer, FIN7 est aussi connu pour avoir développé des clés USB infectées en usurpant l’identité de l’enseigne BestBuy pour faciliter ses attaques. Il suffisait que la victime branche la clé sur son ordinateur pour que la cyberattaque commence.
En dépit de la mention deepfake, cette cyberattaque reste plutôt classique. Comme le souligne le porte-parole d’ESET France, « les sites malveillants continuent d’exploiter des techniques d’ingénierie sociale classiques, comme l’offre de services gratuits ou l’incitation au téléchargement, pour compromettre les systèmes des victimes ». En fait, ce type d’attaque n’a rien de révolutionnaire. Elles pullulent sur le web depuis des dizaines d’années. L’offensive souligne le fait qu’il soit impératif « de soumettre tout logiciel à une analyse antivirus avant installation », et de se méfier de tous les liens et fichiers rencontrés sur la toile.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Silent Push