)
악명 높은 러시아 해킹 그룹 FIN7이 사용자에게 악성코드를 감염시키기 위해 가짜 딥페이크 누드 '제너레이터' 웹사이트 네트워크를 운영하고 있는 것으로 드러남.
이 사이트들은 AI 기술을 사용해 옷을 입은 사진에서 개인의 가짜 누드 이미지를 생성한다고 주장했지만, 실제로는 악성 소프트웨어를 퍼뜨리기 위한 유인책이었음.
FIN7은 사이버 범죄에 대한 전문성을 갖춘 그룹으로, 2013년부터 활동해왔으며 DarkSide, BlackMatter, BlackCat과 같은 랜섬웨어 갱단과 강한 유대관계를 맺고 있음.
FIN7의 딥페이크 악성코드 함정
FIN7의 새로운 전술은 사용자가 사진을 업로드하고 가짜 누드 이미지를 생성할 수 있다고 주장하는 웹사이트를 제공하는 것임. 이 논란의 여지가 있는 기술은 동의 없이 명시적인 이미지를 생성해 많은 피해를 주었으며, 여러 지역에서 금지되었음에도 불구하고 이 기술에 대한 관심은 여전히 높음. 해커들은 이를 악용하고 있음.
FIN7이 만든 딥페이크 누드 웹사이트는 본질적으로 사용자들을 유인하는 허니팟으로, 다른 사람의 비동의 명시적 이미지를 생성하고자 하는 사용자들을 끌어들임. 이 사이트들은 무료 체험이나 다운로드를 약속하지만, 대신 방문자들을 악성코드를 다운로드하도록 속임.
사이버 보안 회사 Silent Push에 따르면, FIN7은 'aiNude[.]ai', 'easynude[.]website', 'nude-ai[.]pro'와 같은 이름으로 사이트를 운영했음. 각 사이트는 유사한 디자인을 가지고 있으며 동일한 가짜 서비스를 제공했음.
사용자가 사진을 업로드하면 다른 페이지로 리디렉션되며, '생성된' 이미지를 다운로드하라는 메시지가 표시되지만, 실제로는 Dropbox와 같은 제3자 링크에서 비밀번호로 보호된 파일을 제공받음.
그러나 약속된 딥페이크 누드 대신 다운로드된 파일에는 악성코드가 포함되어 있음. 이 악성 소프트웨어는 Lumma Stealer라고 불리며, 저장된 비밀번호, 웹 브라우저의 쿠키, 암호화폐 지갑과 같은 민감한 데이터를 빼내는 도구임. 이러한 사이트의 다른 변형들은 개인 데이터를 훔치는 것으로 악명 높은 Redline Stealer와 D3F@ck Loader와 같은 악성코드를 배포하는 것으로 확인됨.
FIN7의 더 넓은 캠페인
Silent Push는 알려진 모든 딥페이크 누드 사이트가 삭제되었다고 보고했지만, FIN7의 악의적인 활동은 여기서 끝나지 않음. 이 그룹은 사용자를 속여 악성 브라우저 확장을 설치하게 하여 NetSupport RAT와 같은 악성코드를 배포하는 다양한 사이버 캠페인에 연루되어 있음. FIN7은 Zoom, Fortnite, Canon 등과 같은 인기 브랜드와 애플리케이션을 스푸핑하여 SEO 전술과 온라인 광고를 통해 악성코드를 배포한 것으로도 알려짐.
이 해킹 그룹은 최근 사이버 공격 중 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 비활성화하는 데 사용되는 맞춤형 도구 'AvNeutralizer'를 다른 범죄자에게 판매한 것으로 드러났음. FIN7은 IT 직원들을 대상으로 한 피싱 공격과 대규모 조직에 대한 랜섬웨어 공격과도 연관되어 있으며, 개인과 기업 모두에게 상당한 위협을 가하고 있음.
이번 딥페이크 사기는 사이버 범죄자들이 어떻게 그들의 전술을 진화시키고 있는지를 보여주는 한 예일 뿐이며, 논란의 여지가 있는 기술과 인간의 호기심을 악용하여 더 정교한 공격을 감행하고 있음.
