HP Wolf Security ontdekt bewijs dat aanvallers AI gebruiken om malware te genereren
HP heeft tijdens het HP Imagine event in Palo Alto zijn nieuwste Threat Insights Report gepubliceerd, waarin wordt onthuld hoe aanvallers generatieve AI gebruiken om kwaadaardige code te schrijven. Het threat research team van HP ontdekte een grote en verfijnde ChromeLoader-campagne die zich verspreidde via malvertising en leidde tot professioneel ogende, malafide PDF-tools, en identificeerde cybercriminelen die kwaadaardige code in SVG-afbeeldingen insloten.
Het rapport biedt een analyse van cyberaanvallen in de echte wereld, waarmee organisaties op de hoogte blijven van de nieuwste technieken die cybercriminelen gebruiken om detectie te omzeilen en pc's te schenden in het snel veranderende cybercriminaliteitslandschap.
Op basis van gegevens van miljoenen eindpunten waarop HP Wolf Security draait, zijn de volgende opvallende campagnes geïdentificeerd door HP threat researchers:
- Generatieve AI helpt malware te ontwikkelen in het wild : Cybercriminelen gebruiken GenAI al om overtuigende phishing-lokmiddelen te creëren, maar tot nu toe is er beperkt bewijs dat dreigingsactoren GenAI-tools gebruiken om code te schrijven. Het team identificeerde een campagne die gericht was op Franstaligen met behulp van VBScript en JavaScript waarvan men denkt dat deze met behulp van GenAI zijn geschreven. De structuur van de scripts, opmerkingen die elke regel code toelichten en de keuze van functienamen en variabelen in de moedertaal zijn sterke aanwijzingen dat de dreigingsactor GenAI heeft gebruikt om de malware te creëren. De aanval infecteert gebruikers met de gratis beschikbare AsyncRAT-malware, een eenvoudig te verkrijgen infostealer die de schermen en toetsaanslagen van slachtoffers kan opnemen. De activiteit laat zien hoe GenAI de lat voor cybercriminelen verlaagt om eindpunten te infecteren.
- Gladde malvertisingcampagnes leiden tot malafide maar functionele PDF-tools : ChromeLoader-campagnes worden groter en steeds verfijnder, en vertrouwen op malvertising rond populaire zoekwoorden om slachtoffers naar goed ontworpen websites te leiden die functionele tools aanbieden zoals PDF-lezers en converters. Deze werkende applicaties verbergen schadelijke code in een MSI-bestand, terwijl geldige code-ondertekeningscertificaten Windows-beveiligingsbeleid en gebruikerswaarschuwingen omzeilen, waardoor de kans op infectie toeneemt. Door deze nepapplicaties te installeren, kunnen aanvallers de browsers van het slachtoffer overnemen en zoekopdrachten omleiden naar door de aanvaller gecontroleerde sites.
- Dit logo is een no-go – malware verbergen in Scalable Vector Graphics (SVG)-afbeeldingen: sommige cybercriminelen gaan tegen de trend in door over te stappen van HTML-bestanden naar vectorafbeeldingen om malware te smokkelen. Vectorafbeeldingen, die veel worden gebruikt in grafisch ontwerp, gebruiken doorgaans het XML-gebaseerde SVG-formaat. Omdat SVG's automatisch worden geopend in browsers, wordt alle ingebedde JavaScript-code uitgevoerd terwijl de afbeelding wordt bekeken. Hoewel slachtoffers denken dat ze een afbeelding bekijken, werken ze in feite met een complex bestandsformaat dat leidt tot de installatie van meerdere soorten infostealer-malware
Voorbeeld van code die waarschijnlijk met behulp van GenAI is geschreven
Voorbeeld van een nep-PDF-conversietoolwebsite die naar ChromeLoader leidt
Code
Patrick Schläpfer, Principal Threat Researcher bij het HP Security Lab, merkt op: "Er wordt veel gespeculeerd over het gebruik van AI door aanvallers, maar het bewijs is schaars, dus deze bevinding is significant. Aanvallers verbergen hun intenties doorgaans graag om te voorkomen dat hun methoden worden onthuld, dus dit gedrag duidt erop dat er een AI-assistent is gebruikt om hun code te schrijven. Dergelijke mogelijkheden verlagen de drempel voor dreigingsactoren nog verder, waardoor beginners zonder programmeervaardigheden scripts kunnen schrijven, infectieketens kunnen ontwikkelen en schadelijkere aanvallen kunnen uitvoeren."
Door bedreigingen te isoleren die detectietools op pc's zijn ontweken, maar malware toch veilig kunnen laten ontploffen, heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die door cybercriminelen worden gebruikt. Tot nu toe hebben klanten van HP Wolf Security op meer dan 40 miljard e-mailbijlagen, webpagina's en gedownloade bestanden geklikt zonder dat er inbreuken zijn gemeld.
Aanvalsmethoden
Het rapport, dat gegevens uit het kalenderkwartaal 2 van 2024 onderzoekt, beschrijft hoe cybercriminelen aanvalsmethoden blijven diversifiëren om beveiligingsbeleid en detectietools te omzeilen, zoals:
- Minstens 12% van de door HP Sure Click geïdentificeerde e-mailbedreigingen omzeilde een of meer e-mailgatewayscanners, evenveel als in het voorgaande kwartaal.
- De grootste bedreigingsvectoren waren e-mailbijlagen (61%), downloads van browsers (18%) en andere infectievectoren, zoals verwijderbare opslagmedia, zoals USB-sticks en bestandsshares (21%).
- Archieven waren het populairste type malware-aflevering (39%), waarvan 26% ZIP-bestanden waren.
Neutraliseren
Dr. Ian Pratt, Global Head of Security for Personal Systems bij HP Inc., merkt op: "Dreigende actoren updaten hun methoden voortdurend, of het nu gaat om het gebruik van AI om aanvallen te verbeteren of het creëren van functionerende maar kwaadaardige tools om detectie te omzeilen. Bedrijven moeten dus veerkracht opbouwen en zoveel mogelijk veelvoorkomende aanvalsroutes afsluiten. Het aannemen van een verdedigingsstrategie in de diepte, inclusief het isoleren van risicovolle activiteiten zoals het openen van e-mailbijlagen of webdownloads, helpt het aanvalsoppervlak te minimaliseren en het risico op infectie te neutraliseren."
HP Wolf Security voert risicovolle taken uit in geïsoleerde, hardware-afgedwongen virtuele machines die op het eindpunt draaien om gebruikers te beschermen, zonder hun productiviteit te beïnvloeden. Het legt ook gedetailleerde sporen vast van pogingen tot infectie. De technologie voor toepassingsisolatie van HP beperkt bedreigingen die andere beveiligingstools kunnen omzeilen en biedt unieke inzichten in inbraaktechnieken en het gedrag van bedreigingsactoren.