Última Forma de Contagiar un Virus: Sitios Web para Adultos Impulsados por IA

Desde que el internet comenzó a llegar a los usuarios comunes, los sitios web para adultos se han utilizado para transportar malware. La última tendencia es que los hackers rusos están utilizando "generadores de deepnude" impulsados por inteligencia artificial, estas son aplicaciones que crean imágenes desnudas a partir de fotos subidas por los usuarios, para infectar a los más cachondos.

Lo peor de todo es que los hackers parecen estar conectados a FIN7, un grupo de ciberdelincuentes notorio activo desde 2012. El año pasado, el Departamento de Justicia de EE. UU. declaró muerta a la banda tras el arresto, condena y encarcelamiento de tres miembros, incluido el presunto "gerente" de FIN7, un ucraniano llamado Fedir Hladyr. Se cree que el grupo de hackers causó daños en todo el mundo por $3.000 millones.

"FIN7 como entidad ya no existe", dijo el fiscal estadounidense Nick Brown en mayo de 2023.

Aparentemente, habló demasiado pronto.

La semana pasada, la empresa de seguridad con sede en Virginia, Silent Push, publicó un informe afirmando que el grupo ha regresado, y peor que nunca. Silent Push informó que FIN7 ha establecido recientemente alrededor de 4.000 dominios y subdominios falsos, incluidos al menos siete sitios web de "generador deepnude" descritos como "cebos de malware" en su informe honeypots de malware.

"Los honeypots de deepfake de IA de FIN7 redirigen a los usuarios desprevenidos que hacen clic en la oferta de 'descarga gratuita' a un nuevo dominio que presenta un enlace de Dropbox u otra fuente que aloja un payload malicioso", cita el informe de Silent Push, señalando que todos los sitios han sido eliminados desde entonces. Sin embargo, "creen que es probable que se lancen nuevos sitios que sigan patrones similares".

Los sitios web incluían nombres como easynude(.)website, ai-nude(.)cloud y nude-ai(.)pro.

Detectar ataques de malware es un desafío, según dijo el Profesor de la Facultad de Ingeniería de la Universidad Estatal de San José, Ahmed Banafa, a Decrypt. Las descargas de malware ocurren rápidamente después de que el usuario interactúa con el sitio web. Cerrar estos sitios web se convierte en un juego de golpear al topo; cuando se cierra un sitio web, otros lo reemplazan rápidamente.

"Simplemente cambian el dominio y el código es el mismo", dijo Banafa. "Incluso si se confiscan los servidores en un país diferente, es muy fácil hacerlo de nuevo."

Los sitios web para adultos son un vector de ataque común, dijo. "Este es el punto más débil, el punto más débil de la red es el ser humano", explicó.

Mientras que el giro de la IA es nuevo, la tendencia más amplia definitivamente no lo es. A finales de marzo de 1999, un programador de computadoras llamado David Lee Smith utilizó una cuenta de America Online pirateada para difundir el virus “Melissa” a través de un grupo de noticias de Internet llamado “alt.sex.” Una vez descargado, el malware, que costó aproximadamente $80 millones para limpiar, tomaba el control de la PC del usuario y enviaba correos electrónicos infectados a los contactos de la víctima.

A principios de los años 2000, los ciberdelincuentes comenzaron a utilizar sitios web para adultos para distribuir troyanos y spyware disfrazados de reproductores de video o códecs. Estos programas, como el virus ILOVEYOU, registraban pulsaciones de teclas y cambiaban la configuración del navegador sin el conocimiento del usuario.

El mes pasado, la ciudad de San Francisco presentó una demanda contra 18 sitios web y aplicaciones ilegales de deepfake que ofrecían desnudar o "desnudificar" a mujeres y niñas. Colectivamente, la demanda dijo que los sitios habían sido visitados más de 200 millones de veces en los primeros seis meses de 2024.

“Esta investigación nos ha llevado a los rincones más oscuros de Internet, y estoy absolutamente horrorizado por las mujeres y niñas que han tenido que soportar esta explotación”, dijo el Fiscal de la Ciudad de San Francisco, David Chiu, en ese momento. “La IA generativa tiene un enorme potencial, pero al igual que con todas las nuevas tecnologías, hay consecuencias no deseadas y criminales que buscan explotar la nueva tecnología.”

FIN7 es el nombre que los investigadores de seguridad dieron al grupo cuando fue identificado por primera vez, y significa Grupo de Amenazas Motivadas Financieramente 7. Los hackers se refieren a su grupo con muchos nombres diferentes, incluidos Carbanak o el Grupo Navigator.

Se cree que está vinculado a Rusia debido al hecho de que recluta hablantes de ruso y se dirige principalmente a usuarios corporativos de EE. UU. y Europa como una forma de infiltrarse en sus sistemas de trabajo. Rusia no ha prestado su ayuda a capturar a los perpetradores, según funcionarios encargados de hacer cumplir la ley.

Las travesuras de FIN7 han ido mucho más allá de los sitios web para adultos. Los expertos en seguridad creen que el grupo ha robado millones al infiltrarse en sistemas de punto de venta en las industrias de hostelería y alimentación para robar datos de clientes y realizar transferencias bancarias fraudulentas.

Entre las empresas estadounidenses afectadas por FIN7 destacan Chipotle, Chili’s y Arby's. Según un informe del FBI, solo en EE. UU., FIN7 robó más de 15 millones de datos de tarjetas de clientes de más de 6.500 terminales punto de venta entre 2016 y 2017.

El grupo incluso ha creado empresas de seguridad falsas, incluyendo Combi Security y Bastion Secure, para atacar a las víctimas. Estas empresas falsas tenían como objetivo engañar a profesionales de ciberseguridad para que trabajaran para la organización criminal bajo la apariencia de realizar pruebas de penetración. En lugar de eso, los utilizaban para desarrollar malware y llevar a cabo intrusiones en redes.

Editado por Andrew Hayward