HP Wolf Security: nové důkazy o útocích prostřednictvím malwaru generovaného AI
31. 10. 2024 07:00 Rubrika: Ostatní Autor: TZ
Nejnovější zpráva HP Wolf Security upozorňuje na využití umělé inteligence při vytváření malwarových skriptů, na malvertising při šíření podvodných nástrojů PDF a na malware v obrazových souborech.
Společnost HP zveřejnila svou nejnovější zprávu Threat Insights Report, která ukazuje, jak útočníci využívají generativní umělou inteligenci k psaní škodlivého kódu. Tým pro výzkum hrozeb společnosti HP odhalil rozsáhlou malvertisingovou kampaň ChromeLoaderu, která uživatele směruje k podvodným nástrojům PDF. Dle dalších zjištění kyberzločinci také vkládají škodlivé kódy do obrázků SVG.
Na základě analýzy reálných kybernetických útoků zpráva informuje o nejnovějších hrozbách v rychle se měnícím prostředí. Analýza staví na datech z milionů uživatelských zařízení se systémem HP Wolf Security. Výzkumníci HP upozorňují na tato nebezpečí:
- Generativní umělá inteligence se využívá při vývoji malwaru: GenAI už byla využita k phishingu, ale dosud nebylo jisté, že by útočníci používali GenAI k psaní kódu. Tým HP odhalil útok na francouzsky mluvící uživatele, při němž byly použity VBScript a JavaScript. Na základě struktury skriptů, komentářů vysvětlující každý řádek kódu a názvů funkcí a proměnných lze předpokládat, že útočníci malware vytvořili s pomocí GenAI. Útok infikuje uživatele volně dostupným malwarem AsyncRAT, tzv. infostealerem, který dokáže zaznamenávat dění na obrazovce a stisky kláves. Je tak zjevné, že GenAI zjednodušuje přípravu kyberútoků na koncová zařízení.
- Malvertising vedoucí k podvodným, ale funkčním nástrojům PDF: Útoky ChromeLoaderu se zdokonalují a staví na malvertisingu v souvislosti s často vyhledávanými klíčovými slovy. Oběť přesměrují na důvěryhodně vypadající webové stránky s nabídkou funkčních nástrojů, například pro čtení a konverzi PDF. Tyto funkční aplikace ukrývají škodlivý kód v instalačním souboru MSI, který umožní obejít zabezpečení Windows, čímž zvyšuje pravděpodobnost infekce. Instalace těchto falešných aplikací umožňuje přesměrovat vyhledávání ve webových prohlížečích na útočníkem ovládané stránky.
- Malware v obrázcích SVG (Scalable Vector Graphics): někteří kyberzločinci se od souborů HTML odklánějí k použití vektorových obrázků. Vektorové obrázky, hojně používané v grafickém designu, běžně využívají formát SVG založený na XML. Protože se SVG v prohlížečích otevírají automaticky, při prohlížení obrázku se spustí vložený škodlivý kód JavaScript, čímž se do zařízení instaluje malware zcizující informace.
Díky schopnosti izolovat a zároveň bezpečně „detonovat“ malware, získává HP Wolf Security přehled o nejnovějších technikách kyberzločinců. Ačkoliv uživatelé HP Wolf Security dosud klikli na více než 40 miliard e-mailových příloh, webových stránek a stažených souborů, zatím nebyli ohroženi kyberútokem.
Zpráva se zabývá daty z druhého čtvrtletí roku 2024 a podrobně popisuje, jakým způsobem kyberzločinci postupují, aby obešli bezpečnostní pravidla a detekční nástroje:
- Nejméně 12 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click dokázalo obejít zabezpečení e-mailu, stejné procento jako v předchozím čtvrtletí.
- Nejčastěji infekce hrozila v příloze e-mailů (61 %), při stahování z prohlížečů (18 %) anebo na externích úložištích typu USB flash a podobných (21 %).
- Malware byl nejčastěji do zařízení doručen prostřednictvím archivních souborů (39 %), z nichž 26 % bylo souborů ZIP.
HP Wolf Security spouští rizikové úlohy v izolovaném a hardwarově zabezpečeném virtuálním prostoru na koncovém zařízení, čímž uživatele chrání, aniž by ovlivnil jejich produktivitu. Podrobně také dokumentuje pokusy o infekci. Izolováním aplikací HP zmírňuje hrozby, které mohly uniknout detekci jinými bezpečnostními nástroji, a zároveň poskytuje unikátní vhled do aktivit a metod útočníků.