Da quando Internet è diventato di uso comune, i siti pornografici sono stati spesso utilizzati per diffondere malware.
Il peggio è che questi hacker sembrano essere collegati a FIN7, un noto gruppo criminale informatico attivo dal 2012. Lo scorso anno, il Dipartimento di Giustizia degli Stati Uniti aveva dichiarato il gruppo sconfitto dopo l’arresto e la condanna di tre membri, tra cui il presunto “manager” Fedir Hladyr, un cittadino ucraino. Si ritiene che FIN7 abbia causato danni per 3 miliardi di dollari a livello globale.
“FIN7 come entità non esiste più“, aveva detto il procuratore statunitense Nick Brown nel maggio 2023.
A quanto pare, era troppo presto per affermarlo.
La scorsa settimana, l’azienda di sicurezza informatica Silent Push, con sede in Virginia, ha pubblicato un rapporto che sostiene che il gruppo è tornato, e questa volta è ancora più pericoloso. Silent Push ha segnalato che FIN7 ha recentemente creato circa 4.000 domini falsi e sottodomini, tra cui almeno sette siti di “deepnude generator”, descritti come vere e proprie “trappole di malware”.
“Le trappole di deepfake di FIN7 reindirizzano gli utenti ignari che cliccano sull’offerta di ‘download gratuito’ a un nuovo dominio che ospita un link Dropbox o un’altra fonte con un payload dannoso“, si legge nel rapporto di Silent Push. Sebbene tutti i siti siano stati successivamente chiusi, l’azienda ritiene probabile che ne verranno creati di nuovi seguendo schemi simili.
I nomi dei siti includevano indirizzi come easynude(.)website, ai-nude(.)cloud e nude-ai(.)pro.
Rilevare questi attacchi è una sfida, ha spiegato Ahmed Banafa, professore del College of Engineering dell’Università di San Jose. I download di malware avvengono rapidamente dopo l’interazione con il sito, e chiudere questi siti è come giocare a “whack-a-mole”: quando uno viene chiuso, ne spuntano altri.
“Si tratta solo di cambiare il dominio, il codice resta lo stesso,” ha detto Banafa. “Anche se sequestri le server farm in un altro paese, è molto facile ricominciare da capo. I siti pornografici sono un vettore di attacco comune“, ha aggiunto. “Il punto debole della rete è sempre l’essere umano.“
Anche se l’uso dell’intelligenza artificiale è una novità, il trend è noto da tempo. Nel marzo 1999, un programmatore di nome David Lee Smith utilizzò un account hackerato di America Online per diffondere il virus “Melissa” attraverso un gruppo di discussione online chiamato “alt.sex”. Una volta scaricato, il malware — che costò circa 80 milioni di dollari per essere eliminato — infettò i computer e inviò email dannose ai contatti delle vittime.
Nei primi anni 2000, i criminali informatici iniziarono a usare siti per adulti per distribuire cavalli di Troia e spyware mascherati da video player o codec, come il virus ILOVEYOU, che registravano i tasti digitati e modificavano le impostazioni del browser senza che l’utente se ne accorgesse.
Il mese scorso, la città di San Francisco ha intentato una causa contro 18 siti e app di deepfake illegali che offrivano la possibilità di spogliare digitalmente donne e ragazze. Secondo la causa, questi siti sono stati visitati oltre 200 milioni di volte nei primi sei mesi del 2024.
“Questa indagine ci ha portato negli angoli più oscuri di Internet, e sono assolutamente inorridito per le donne e le ragazze che hanno dovuto subire questa forma di sfruttamento,” ha dichiarato l’avvocato della città David Chiu. “L’intelligenza artificiale generativa ha un potenziale enorme, ma come per tutte le nuove tecnologie, ci sono conseguenze indesiderate e criminali che cercano di sfruttarla.”
Il nome FIN7 fu dato al gruppo dai ricercatori di sicurezza quando venne identificato per la prima volta, e sta per Financially Motivated Threat Group 7. Gli hacker si riferiscono a loro stessi con vari nomi, tra cui Carbanak o Navigator Group.
Si ritiene che il gruppo sia legato alla Russia, poiché recluta persone di lingua russa e prende di mira principalmente utenti aziendali negli Stati Uniti e in Europa per infiltrarsi nei loro sistemi di lavoro. Inoltre, le autorità sostengono che la Russia non abbia collaborato attivamente per catturare i colpevoli.
Le attività di FIN7 non si limitano ai siti pornografici. Gli esperti di sicurezza ritengono che il gruppo abbia rubato milioni di dollari infiltrandosi nei sistemi POS (point-of-sale) di catene del settore alberghiero e alimentare per sottrarre dati dei clienti e fare trasferimenti bancari fraudolenti.
Tra le aziende statunitensi colpite da FIN7 ci sono Chipotle, Chili’s e Arby’s. Secondo un rapporto dell’FBI, solo negli Stati Uniti, FIN7 ha rubato i dati di oltre 15 milioni di carte di credito da più di 6.500 terminali POS tra il 2016 e il 2017.
Il gruppo ha persino creato false aziende di sicurezza, come Combi Security e Bastion Secure, per ingannare i professionisti della cybersecurity, facendoli lavorare inconsapevolmente per l’organizzazione criminale con l’apparente scopo di eseguire test di penetrazione, mentre in realtà venivano utilizzati per sviluppare malware e condurre intrusioni di rete.
Possiamo quindi affermare che FIN7 non esiste più?