Vor kurzem haben Cybersicherheitsexperten von Silent Push in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe FIN7 vorgestellt. Die Cyberkriminellen nutzen Fake-Websites, um ihren Opfern die Nutzung KI-gestützter Nacktbildgeneratoren anzubieten. Fallen diese auf den Köder herein, klicken sie auf einen entsprechenden Link, laden sie sich Infostealer herunter – und bringen damit, sollten sie sich gerade an ihrem Arbeitsplatz aufhalten, leicht ihr ganzes Unternehmen in Gefahr. Laut KnowBe4s Industry Benchmarking Report 2024 fallen im Schnitt knapp 33 Prozent der Angesprochenen auf solche und ähnliche bösartige ‚Angebote‘ herein.
FIN7, auch bekannt als Carbon Spider, ELBRUS und Sangria Tempest, ist eine Cyberbedrohungsgruppe mit Verbindungen nach Russland. Seit 2013 wird sie mit komplexen Cyberangriffen in Zusammenhang gebracht. Aktiv ist sie aber wahrscheinlich schon länger. Der Angriffsfokus der Gruppe liegt auf einem breiten Spektrum unterschiedlicher Branchen: vom Einzelhandel und der Technologiebranche, über die Finanz- und die Medienbranche, bis hin zu Versorgungsunternehmen.
In ihrem kürzlich vorgestellten Blogbeitrag präsentierten die Threat-Analysts von Silent Push nun die neueste Angriffstaktik der Gruppe. Um ihre Opfer zum Download von Infostealern zu bewegen, tarnten sie Honeypot-Fake-Websites als Online-Oberfläche von Deepnude-KI-Bildgeneratoren-Anbietern. Mindestens sieben Fake-Websites hat die Gruppe zu diesem Zweck unterhalten. Mittlerweile wurden sie alle, auf Betreiben von Silent Push, vom Netz genommen:
- easynude[.]website
- ai-nude[.]cloud
- ai-nude[.]click
- ai-nude[.]pro
- nude-ai[.]pro
- ai-nude[.]adult
- ai-nude[.]site
Auf diesen Honeypot-Websites wurde Besuchern angeboten, einen KI-Bildgenerator zur Erzeugung von Nacktbildern zu nutzen. Einige Fake-Websites boten einen „2Free Download“ andere einen „Free Trial“ an.
In ersterem Fall wurden die Opfer aufgefordert, ein Bild der Person hochzuladen, die sie gerne nackt sehen möchten. Sie erhielten dann die Mitteilung, dass das erzeugte Bild zum Download bereitstehen würde. Klickten sie auf den „Free Download“-Button, wurden sie auf eine neue Domain, versehen mit einem Link zu Dropbox oder einer anderen Quelle umgeleitet, die eine .zip-Datei mit bösartiger Nutzlast enthielt. Meist handelte es sich hierbei dann um Infostealer, wie Redline Stealer oder D3F@ck Loader, mit denen FIN7 Cookies, Passwörter und andere Informationen seiner Opfer ausspähen konnte – um anschließend potenzielle Unternehmensziele anzugreifen.
Auch im zweiten Fall wurden Opfer aufgefordert, das Bild einer Person, die sie gerne nackt sehen würden, hochzuladen. Hierzu sollten sie nun jedoch auf den Link „Free Trial“ klicken. Hatten sie ein Bild geuploadet, erhielten sie die Meldung: „Testversion steht zum Download bereit“, versehen mit dem Zusatz „Zugang zu wissenschaftlichen Materialien nur für den persönlichen Gebrauch“. Ein Pop-up erschien und fragte: „Der Link ist nur für den persönlichen Gebrauch bestimmt, sind Sie damit einverstanden?“ Wenn der Nutzer zustimmte und auf „Herunterladen“ klickte, erhielt er wieder eine .zip-Datei, wieder versehen mit einer bösartigen Nutzlast. Auch hier handelte es sich dann wieder um einen Infostealer, diesmal aber um einen Lumma Stealer.
Nach der Entdeckung der Honeypot-Websites sorgten die Threat-Analysts von Silent Push rasch für deren Takedown. Derzeit sind die Seiten offline. Es ist aber wahrscheinlich, dass – falls nicht schon geschehen – bald neue Seiten – nach ähnlichem Muster – Online gehen werden. Unternehmen kann deshalb nur dringend geraten werden, weiter und weiter in die Anhebung des Cybersicherheitsbewusstseins ihrer Mitarbeiter zu investieren. Regelmäßige Schulungen und Trainings sind unerlässlich, will man sicherstellen, dass sämtliche Nutzer des Firmennetzwerkes in Punkto Cybersicherheit stets auf dem neusten Stand gehalten werden und nicht auf Honeypots, wie den hier vorgestellten, hereinfallen.
#KnowBe4
