HP Wolf Security onthult bewijs van AI-gebruik door aanvallers voor malware
technieken zoals malvertising met PDF's en schadelijke codes in SVG-afbeeldingen

HP Wolf Security onthult bewijs van AI-gebruik door aanvallers voor malware

Redactie WINMAG Pro

 HP Inc. (NYSE: HPQ) presenteert het nieuwste Threat Insights Report, waarin wordt onthuld hoe aanvallers generatieve AI gebruiken om schadelijke code te schrijven. Het threat team van HP vond een grote en verfijnde ChromeLoader-campagne verspreid via malvertising, die leidt naar professioneel uitziende vervalste PDF-tools. Bovendien werden cybercriminelen geïdentificeerd die schadelijke code in SVG-afbeeldingen embedden.

Highlights

 

  • HP threat onderzoekers hebben een campagne geïdentificeerd die gericht is op Franstaligen, waarbij malware is gebruikt die vermoedelijk is geschreven met behulp van GenAI.
  • De structuur van de malware, commentaar dat elke regel code verklaart, en de keuze voor functies en variabelen in de moedertaal, wijzen erop dat de threat actor GenAI heeft gebruikt om de malware te maken.
  • De activiteiten laten zien hoe GenAI aanvallen versnelt en de drempel verlaagt voor cybercriminelen om eindpunten te infecteren.
  • HP ontdekte ook dat ChromeLoader-campagnes groter en verfijnder worden, waarbij malvertising wordt gebruikt om slachtoffers naar professioneel ogende websites te leiden die vervalste tools zoals PDF-converters aanbieden.
  • Het installeren van de vervalste applicaties, die worden geleverd als MSI-bestanden, zorgt ervoor dat kwaadaardige code op endpoints wordt uitgevoerd.
  • De malware laadt een browserextensie die aanvallers in staat stelt om de browsersessie van het slachtoffer over te nemen en zoekopdrachten om te leiden naar door de aanvaller gecontroleerde sites.
  • Een andere campagne toonde aan dat sommige cybercriminelen afwijken van de trend door over te schakelen van HTML-bestanden naar SVG-vectorafbeeldingen om malware te smokkelen.

Het rapport biedt een analyse van cyberaanvallen in de echte wereld, waarmee organisaties op de hoogte kunnen blijven van de nieuwste technieken die cybercriminelen gebruiken om detectie te omzeilen en pc’s te infiltrere. Gebaseerd op gegevens van miljoenen endpoints waarop HP Wolf Security draait, identificeerden HP-dreigingsonderzoekers de volgende belangrijke campagnes:

 

  • Generative AI helpt bij de ontwikkeling van malware in het wild: Cybercriminelen gebruiken GenAI al om overtuigende phishingpogingen te maken, maar tot nu toe was er weinig bewijs dat threat actoren GenAI-tools gebruikten om code te schrijven. Het team identificeerde een campagne gericht op Franstaligen waarbij VBScript en JavaScript werden gebruikt, vermoedelijk geschreven met behulp van GenAI. De structuur van de scripts, commentaar dat elke regel code verklaart, en de keuze van functies en variabelen in de moedertaal zijn sterke aanwijzingen dat de threat actor GenAI heeft gebruikt om de malware te creëren. De aanval infecteert gebruikers met de vrij verkrijgbare AsyncRAT-malware, een eenvoudig te verkrijgen infostealer die de schermen en toetsaanslagen van het slachtoffer kan opnemen. Deze activiteit toont aan hoe GenAI de drempel verlaagt voor cybercriminelen om endpoints te infecteren.
  • Gepolijste malvertising-campagnes die leiden naar vervalste, maar functionele PDF-tools: ChromeLoader-campagnes worden steeds groter en verfijnder, waarbij gebruik gemaakt wordt van malvertising rond trending zoekwoorden om slachtoffers naar goed ontworpen websites te leiden die functionele tools zoals PDF-lezers en converters aanbieden. Deze werkende applicaties verbergen kwaadaardige code in een MSI-bestand, terwijl geldige code-ondertekeningscertificaten de beveiligingsbeleid en waarschuwingen van Windows omzeilen, waardoor de kans op infectie toeneemt. Het installeren van deze vervalste applicaties stelt aanvallers in staat om de browsers van slachtoffers over te nemen en zoekopdrachten om te leiden naar door aanvallers gecontroleerde sites.
  • Deze logo’s zijn een no-go – verbergen van malware in Scalable Vector Graphics (SVG)-afbeeldingen: Sommige cybercriminelen wijken af van de trend door over te schakelen van HTML-bestanden naar vectorafbeeldingen om malware te smokkelen. Vectorafbeeldingen, veel gebruikt in grafisch design, gebruiken doorgaans het XML-gebaseerde SVG-formaat. Omdat SVG’s automatisch worden geopend in browsers, wordt ingesloten JavaScript-code uitgevoerd terwijl de afbeelding wordt bekeken. Terwijl slachtoffers denken dat ze een afbeelding bekijken, interageren ze met een complex bestandsformaat dat leidt tot het installeren van verschillende soorten infostealer-malware.

 Voorbeeld van code die waarschijnlijk is geschreven met behulp van GenAI

HP Wolf Security onthult bewijs dat aanvallers AI gebruiken om malware te genereren

Patrick Schläpfer, Principal Threat Researcher in het HP Security Lab, zegt: "Er wordt veel gespeculeerd over AI die wordt gebruikt door aanvallers, maar bewijs is schaars, dus deze ontdekking is opmerkelijk. Normaal gesproken proberen aanvallers hun bedoelingen te verhullen om hun methoden niet te onthullen, dus dit gedrag duidt erop dat een AI-assistent is gebruikt om hen te helpen bij het schrijven van hun code. Dergelijke capaciteiten verlagen de toegangsdrempel voor threat actoren, waardoor nieuwe actoren zonder programmeervaardigheden scripts kunnen schrijven, infectieketens kunnen ontwikkelen en verwoestendere aanvallen kunnen uitvoeren."

Door dreigingen te isoleren die detectietools op pc's hebben omzeild - maar nog steeds veilig malware laten detoneren - heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die cybercriminelen gebruiken. Tot op heden hebben HP Wolf Security-klanten op meer dan 40 miljard e-mailbijlagen, webpagina's en gedownloade bestanden geklikt zonder gerapporteerde inbreuken.

Het rapport, dat gegevens van het tweede kwartaal van 2024 analyseert, laat zien hoe cybercriminelen blijven diversifiëren in aanvalsmethoden om beveiligingsbeleid en detectietools te omzeilen, zoals:

 

  • Minstens 12% van de e-maildreigingen die door HP Sure Click zijn geïdentificeerd, omzeilde één of meer e-mailgateway-scanners, gelijk aan cijfers van het vorige kwartaal.
  • De belangrijkste dreigingsvectoren waren e-mailbijlagen (61%), downloads van browsers (18%) en andere infectievectoren zoals verwijderbare opslagapparaten (bijv. USB-sticks en gedeelde bestanden) (21%).
  • Archieven waren het populairste type malwarelevering (39%), waarvan 26% ZIP-bestanden waren.

Dr. Ian Pratt, Global Head of Security for Personal Systems bij HP:
"Threat actoren blijven hun methoden verfijnen, of het nu gaat om het gebruik van AI om aanvallen te verbeteren of het creëren van functionele maar kwaadaardige tools om detectie te omzeilen. Bedrijven moeten dus veerkracht opbouwen door zoveel mogelijk gangbare aanvalsroutes af te sluiten. Het aannemen van een defense-in-depth-strategie - inclusief het isoleren van risicovolle activiteiten zoals het openen van e-mailbijlagen of webdownloads - helpt het aanvalsoppervlak te minimaliseren en het risico op infectie te neutraliseren."

HP Wolf Security voert risicovolle taken uit in geïsoleerde hardware-gehandhaafde virtuele machines die draaien op het endpoint om gebruikers te beschermen zonder hun productiviteit te beïnvloeden. Het vangt ook gedetailleerde sporen van poging tot infecties op. De applicatie-isolatietechnologie van HP vermindert dreigingen die andere beveiligingstools kunnen omzeilen en biedt unieke inzichten in indringingstechnieken en het gedrag van dreigingsactoren

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie