HP Wolf Security: nové důkazy o útocích prostřednictvím malwaru generovaného AI

Nejnovější zpráva HP Wolf Security upozorňuje na využití umělé inteligence při vytváření malwarových skriptů, na malvertising při šíření podvodných nástrojů PDF a na malware v obrazových souborech

Hlavní body zprávy

  • Výzkumníci společnosti HP odhalili kampaň mířenou na francouzsky mluvící uživatele, která podle všeho využívala malware vytvořený pomocí generativní umělé inteligence
  • Ukazuje se, že útoky jsou díky GenAI rychlejší a je jednodušší napadat a infikovat uživatelská zařízení
  • Útoky ChromeLoaderu jsou propracovanější a využívají malvertising k přesměrování na důvěryhodně vypadající weby, například s falešnými konvertory PDF souborů
  • Falešné instalační soubory MSI spouští škodlivý kód v uživatelských zařízeních
  • Malware může přesměrovat vyhledavače na podvodné webové stránky
  • Někteří kyberzločinci k umístění malwaru využívají vektorové obrázky SVG namísto častějších souborů HTML

 

Společnost HP zveřejnila svou nejnovější zprávu Threat Insights Report, která ukazuje, jak útočníci využívají generativní umělou inteligenci k psaní škodlivého kódu. Tým pro výzkum hrozeb společnosti HP odhalil rozsáhlou malvertisingovou kampaň ChromeLoaderu, která uživatele směruje k podvodným nástrojům PDF. Dle dalších zjištění kyberzločinci také vkládají škodlivé kódy do obrázků SVG.

Na základě analýzy reálných kybernetických útoků zpráva informuje o nejnovějších hrozbách v rychle se měnícím prostředí.  Analýza staví na datech z milionů uživatelských zařízení se systémem HP Wolf Security. Výzkumníci HP upozorňují na tato nebezpečí:

  • Generativní umělá inteligence se využívá při vývoji malwaru: GenAI už byla využita k phishingu, ale dosud nebylo jisté, že by útočníci používali GenAI k psaní kódu. Tým HP odhalil útok na francouzsky mluvící uživatele, při němž byly použity VBScript a JavaScript. Na základě struktury skriptů, komentářů vysvětlující každý řádek kódu a názvů funkcí a proměnných lze předpokládat, že útočníci malware vytvořili s pomocí GenAI. Útok infikuje uživatele volně dostupným malwarem AsyncRAT, tzv. infostealerem, který dokáže zaznamenávat dění na obrazovce a stisky kláves. Je tak zjevné, že GenAI zjednodušuje přípravu kyberútoků na koncová zařízení.
  • Malvertising vedoucí k podvodným, ale funkčním nástrojům PDF: Útoky ChromeLoaderu se zdokonalují a staví na malvertisingu v souvislosti s často vyhledávanými klíčovými slovy. Oběť přesměrují na důvěryhodně vypadající webové stránky s nabídkou funkčních nástrojů, například pro čtení a konverzi PDF. Tyto funkční aplikace ukrývají škodlivý kód v instalačním souboru MSI, který umožní obejít zabezpečení Windows, čímž zvyšuje pravděpodobnost infekce. Instalace těchto falešných aplikací umožňuje přesměrovat vyhledávání ve webových prohlížečích na útočníkem ovládané stránky.
  • Malware v obrázcích SVG (Scalable Vector Graphics): někteří kyberzločinci se od souborů HTML odklánějí k použití vektorových obrázků. Vektorové obrázky, hojně používané v grafickém designu, běžně využívají formát SVG založený na XML. Protože se SVG v prohlížečích otevírají automaticky, při prohlížení obrázku se spustí vložený škodlivý kód JavaScript, čímž se do zařízení instaluje malware zcizující informace.

 

Příklad kódu pravděpodobně napsaného pomocí GenAI

Příklad falešného webového konvertoru PDF, který vede k ChromeLoader

 

Patrick Schläpfer, hlavní výzkumník hrozeb v HP Security Lab, k tomu říká:

„Spekulací o využívání umělé inteligence útočníky je mnoho, ale důkazů je málo, takže naše zjištění je důležité. Obvykle se útočníci snaží zamést stopy, proto si myslíme, že v tomto případě byla při psaní kódu využita AI. To znamená, že se mimo jiné snižuje laťka pro útočníky: i nováčci bez programátorských dovedností teď dokážou psát skripty, vyvíjet infekční řetězce a provádět škodlivější útoky.“

Díky schopnosti izolovat a zároveň bezpečně „detonovat“ malware, získává HP Wolf Security přehled o nejnovějších technikách kyberzločinců. Ačkoliv uživatelé HP Wolf Security dosud klikli na více než 40 miliard e-mailových příloh, webových stránek a stažených souborů, zatím nebyli ohroženi kyberútokem. 

Zpráva se zabývá daty z druhého čtvrtletí roku 2024 a podrobně popisuje, jakým způsobem kyberzločinci postupují, aby obešli bezpečnostní pravidla a detekční nástroje:

  • Nejméně 12 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click dokázalo obejít zabezpečení e-mailu, stejné procento jako v předchozím čtvrtletí.
  • Nejčastěji infekce hrozila v příloze e-mailů (61 %), při stahování z prohlížečů (18 %) anebo na externích úložištích typu USB flash a podobných (21 %).
  • Malware byl nejčastěji do zařízení doručen prostřednictvím archivních souborů (39 %), z nichž 26 % bylo souborů ZIP.

Dr. Ian Pratt, globální ředitel divize Security for Personal Systems ve společnosti HP, uvádí: „Kyberzločinci neustále zdokonalují své metody, od využití umělé inteligence po vývoj funkčních, ale škodlivých nástrojů, které umí obejít ochranu. Je třeba uzavírat běžné cesty, jimiž jsou útoky vedeny, například izolovat vysoce rizikové činnosti typu otevírání příloh e-mailů nebo stahování z webu. Tímto lze zmenšit dopad útoku a omezit riziko infekce.“

 

HP Wolf Security[i] spouští rizikové úlohy v izolovaném a hardwarově zabezpečeném virtuálním prostoru na koncovém zařízení, čímž uživatele chrání, aniž by ovlivnil jejich produktivitu. Podrobně také dokumentuje pokusy o infekci. Izolováním aplikací HP zmírňuje hrozby, které mohly uniknout detekci jinými bezpečnostními nástroji, a zároveň poskytuje unikátní vhled do aktivit a metod útočníků. 


O HP Wolf Security 

HP Wolf Security představuje špičkové zabezpečení uživatelských počítačů. Portfolio HP, které zahrnuje hardwarově podporovaná bezpečnostní řešení a služby zaměřené na koncové body, je navrženo tak, aby pomáhalo organizacím chránit počítače, tiskárny a zaměstnance před kybernetickými útočníky. HP Wolf Security nabízí komplexní ochranu, která se opírá o zabezpečení na úrovni hardwaru a rozšiřuje se do oblasti softwaru a služeb.

Pro více informací navštivte https://hp.com/wolf. 

O společnosti HP

Společnost HP Inc. (NYSE: HPQ) je celosvětovým lídrem v oblasti technologií a tvůrcem řešení, která umožňují lidem realizovat jejich nápady a zabývat se věcmi, na nichž jim záleží nejvíc. Společnost HP působí ve více než 170 zemích světa a nabízí širokou škálu inovativních a udržitelných zařízení, služeb a předplatitelských programů pro osobní počítače, běžný i 3D tisk, hybridní práci, hraní her a další.

Více informací o HP Inc. naleznete na http://www.hp.com.

[i] HP Wolf Security for Business funguje se systémy Windows 10 nebo 11 Pro a vyššími, obsahuje různé bezpečnostní funkce HP a je k dispozici v produktech HP Pro, Elite, RPOS a Workstation. Informace o zahrnutých bezpečnostních funkcích naleznete v podrobnostech o produktu.