HP Wolf Security: Infractorii cibernetici folosesc AI pentru a genera programe malware

În cadrul HP Imagine, HP Inc. (NYSE: HPQ) a publicat cel mai recent raport Threat Insights care dezvăluie modul în care infractorii cibernetici folosesc inteligenţa artificială generativă pentru a scrie coduri maliţioase. Echipa de cercetare HP a descoperit o campanie ChromeLoader extinsă, răspândită prin intermediul publicităţii maliţioase, care conduce la instrumente PDF periculoase, dar care induc în eroare prin formatul profesional.

Raportul oferă o analiză a atacurilor cibernetice din lumea reală, ajutând organizaţiile să ţină pasul cu cele mai noi tehnici utilizate de infractorii cibernetici. Pe baza datelor de la milioane de puncte terminale care rulează HP Wolf Security, echipa HP a identificat următoarele campanii şi metode de atac:

• Inteligenţa artificială generativă ajută la dezvoltarea de programe malware - Infractorii cibernetici utilizează deja GenAI pentru a crea momeli convingătoare de phishing, dar până acum erau puţine dovezi despre hackeri care utilizează instrumente GenAI pentru a scrie cod. Echipa HP a identificat o campanie care viza vorbitorii de limbă franceză, folosind VBScript şi JavaScript, despre care se crede că a fost creată cu ajutorul GenAI. Structura scripturilor, comentariile care explică fiecare linie de cod şi alegerea numelor de funcţii şi a variabilelor în limba maternă sunt indicii puternice în acest sens. Atacul infectează utilizatorii cu malware-ul AsyncRAT disponibil gratuit, un instrument uşor de obţinut care poate înregistra ecranele utilizatorilor vizaţi, dar şi apăsarea butoanelor pe tastatură. Activitatea arată modul în care GenAI uşurează munca infractorilor cibernetici.

• Campanii ingenioase de malvertising care conduc la instrumente PDF periculoase, dar funcţionale - Campaniile ChromeLoader devin din ce în ce mai ample şi mai rafinate, bazându-se pe malvertising în jurul unor cuvinte-cheie de căutare populare, pentru a direcţiona victimele către site-uri web bine concepute care oferă instrumente funcţionale, precum cititoare şi convertoare PDF. Aceste aplicaţii funcţionale ascund codul maliţios într-un fişier MSI, ocolind politicile de securitate Windows şi crescând şansele de infectare a dispozitivelor. Instalarea acestor aplicaţii false permite hackerilor să preia controlul asupra browserelor victimelor şi să redirecţioneze căutările către site-uri controlate de ei.

• Ascunderea programelor malware în imagini SVG (Scalable Vector Graphics) - Unii infractori cibernetici au trecut de la fişierele HTML la imaginile vectoriale pentru a livra programe malware. Imaginile vectoriale, utilizate pe scară largă în designul grafic, folosesc în mod obişnuit formatul SVG bazat pe XML. Deoarece SVG-urile se deschid automat în browsere, orice cod JavaScript încorporat este executat pe măsură ce imaginea este vizualizată. În timp ce victimele cred că vizualizează o imagine, ele interacţionează cu un format de fişier complex care duce la instalarea mai multor tipuri de programe malware de tip infostealer.

Patrick Schläpfer, expert în cadrul HP Security Lab, subliniază:

"Speculaţiile cu privire la utilizarea inteligenţei artificiale de către infractorii cibernetici sunt numeroase, dar dovezile au fost rare, astfel încât această descoperire este semnificativă. De obicei, hackerilor le place să îşi ascundă intenţiile pentru a evita dezvăluirea metodelor lor, astfel încât acest comportament indică faptul că un asistent AI a fost folosit pentru a ajuta la scrierea codului. Astfel de capacităţi reduc şi mai mult barierele pentru infractorii cibernetici, permiţând şi celor fără abilităţi de codare să scrie scripturi şi să lanseze atacuri."

Prin izolarea ameninţărilor care au evitat instrumentele de detecţie - dar permiţând în acelaşi timp ca programele malware să fie activate în siguranţă - HP Wolf Security are o perspectivă specifică asupra celor mai recente tehnici folosite de infractorii cibernetici. Până în prezent, clienţii HP Wolf Security au deschis peste 40 de miliarde de ataşamente de e-mail, pagini web şi fişiere descărcate, fără să fie raportate breşe de securitate.

Raportul, care analizează datele din al doilea trimestru al anului, detaliază modul în care infractorii cibernetici continuă să-şi diversifice metodele de atac pentru a ocoli politicile de securitate şi instrumentele de detectare:

• cel puţin 12% dintre ameninţările prin e-mail identificate de HP Sure Click au ocolit unul sau mai multe instrumente de securitate pentru e-mail, la fel ca în trimestrul precedent;

• principalii vectori de ameninţare au fost ataşamentele de e-mail (61%), descărcările din browsere (18%) şi alţi vectori de infectare, cum ar fi stick-urile USB şi partajarea de fişiere (21%);

• arhivele au fost cel mai popular tip de livrare de malware (39%), 26% dintre acestea fiind fişiere ZIP.

Dr. Ian Pratt, Global Head of Security Personal Systems în cadrul HP Inc., precizează:

"Infractorii cibernetici îşi actualizează constant metodele, fie că este vorba de utilizarea inteligenţei artificiale pentru a amplifica atacurile, fie de crearea unor instrumente funcţionale, dar maliţioase, pentru a ocoli detecţia. Prin urmare, companiile trebuie să-şi consolideze rezilienţa, închizând cât mai multe căi comune de atac posibile. Adoptarea unei strategii de apărare în profunzime - inclusiv izolarea activităţilor cu risc ridicat, cum ar fi deschiderea ataşamentelor de e-mail sau descărcările web - ajută la reducerea suprafeţei de atac şi la neutralizarea riscului de infectare."

HP Wolf Security execută sarcini riscante în micro-maşini virtuale (micro-VM) izolate, fără a afecta productivitatea. De asemenea, captează urme detaliate ale încercărilor de infectare. Tehnologia HP de izolare a aplicaţiilor atenuează ameninţările care ar putea trece neobservate de alte instrumente de securitate şi oferă informaţii unice despre noile tehnici adoptate de hackeri.

Despre studiu

Datele au fost colectate de la clienţii HP Wolf Security care şi-au dat acordul, în perioada aprilie-iunie 2024.

Despre HP

HP Inc. (NYSE: HPQ) este un lider global în domeniul tehnologiei şi creator de soluţii care permit oamenilor să dea viaţă ideilor lor şi să se conecteze cu lucrurile care contează. Prezent în peste 170 de ţări, HP oferă o gamă largă de dispozitive, servicii şi abonamente inovatoare şi sustenabile pentru sisteme de calcul, imprimante, soluţii de imprimare 3D, muncă hibridă, gaming şi multe altele. Pentru mai multe informaţii vizitează http://www.hp.com.