A HP fenyegetéskutató csoportja egy nagyszabású és kifinomult ChromeLoader kampányt azonosított. A kampány hirdetéseken keresztül terjed, és professzionálisnak tűnő, de hamis PDF-eszközökhöz vezet. A HP kutatói azonosították is a kiberbűnözőket, akik SVG-képekbe ágyaztak be rosszindulatú kódokat.
A HP csapata valós kibertámadásokat elemzett, így azt is bemutatták, hogy a kiberbűnözők milyen trükköket alkalmaznak a felderítés elkerülésére és a számítógépek feltörésére.
A HP Wolf Securityt futtató több millió végpont adatai alapján a HP fenyegetéskutatói három nagy támadástípust azonosítottak.
A generatív MI mint kódíró
Kiberbűnözők immár a generatív MI segítségével fejlesztenek rosszindulatú szoftvereket. Az MI ugyanis az adathalász kísérletekben meggyőző “csalikat” képes létrehozni. A jelentés szerint mindeddig kevés kézzelfogható bizonyíték volt arra, hogy csalók a generatív MI-t kódírásra használják.
A HP biztonsági részlege azonban azonosított egy francia nyelvterületen indított, VBSctriptet és JavaScriptet használó kampányt, amelyet minden bizonnyal MI-vel írtak.
A szkriptek felépítése, az egyes kódsorokat magyarázó megjegyzések, valamint az anyanyelvi függvénynevek és változók kiválasztása határozottan arra utal, hogy generatív MI-t használtak a rosszindulatú programok létrehozásához.
A támadás a szabadon elérhető AsyncRAT malware-rel fertőzi meg a felhasználókat, amely egy könnyen beszerezhető “info-tolvaj”, amely képes rögzíteni az áldozatok képernyőit és billentyűleütéseit. A tevékenység azt mutatja, hogy a GenAI hogyan csökkenti a kiberbűnözők számára a végpontok megfertőzésének lehetőségét.
Az átverés új ruhája: .pdf
A HP kiberbiztonsági szakértői olyan rosszindulatú reklámkampányokat is azonosítottak, amelyek működőképes, de rosszindulatú kódokat tartalmazó pdf-ekhez vezetnek.
A ChromeLoader kampányok egyre nagyobb léptékűek és egyre kifinomultabbak. Jobbára a népszerű keresési kulcsszavak körüli rosszindulatú reklámozásra épülnek. Az áldozatokat jól megtervezett, funkcionális eszközöket, például PDF-olvasókat és -konvertálókat kínáló weboldalakra irányítsák.
Ezek az egyébként működő alkalmazások rosszindulatú kódot rejtenek egy MSI-fájlba, miközben az érvényes kódaláíró tanúsítványok megkerülik a Windows biztonsági irányelveit és a felhasználói figyelmeztetéseket. Ezzel is növelve a fertőzés esélyét. Ezeknek a hamis alkalmazásoknak a telepítése lehetővé teszi a támadók számára, hogy átvegyék az áldozat böngészőjének irányítását, és a kereséseket a támadók által ellenőrzött webhelyekre irányítsák át.
Már a vektor sem a régi
Új trend, hogy immár html-fájlok helyett svg-képekbe (Scalable Vector Graphics) csempésznek rosszindulatú programokat.
A grafikai tervezésben széles körben használt vektoros képek általában az xml-alapú .svg formátumot használják.
Mivel ezek a képek automatikusan megnyílnak a böngészőkben, a beágyazott JavaScript-kódok a kép megtekintésekor lefutnak.
Miközben az áldozatok azt hiszik, hogy egy képet néznek meg, egy összetett fájlformátummal lépnek interakcióba, ami többféle infostopper kártevőt is telepíthet.
“A támadók által használt MI-ről sok a találgatás, de bizonyíték eddig kevés volt” – mondta Patrick Schläpfer, a HP biztonsági laboratóriumának vezető kutatója.
A támadók általában szeretik elfedni szándékaikat, hogy módszereik titokban maradhassanak. Schläpfer szerint így ez a viselkedés is arra utal, hogy MI-asszisztenst használtak a kód megírásához. Ezzel pedig még alacsonyabb lett a belépési küszöb. A kódolási tudással nem rendelkező kezdők is írhatnak szkripteket, vagy fertőzési láncokat is fejleszthetnek.
A HP Wolf Security módszere, hogy megfigyelhesse a kiberbűnözők által használt legújabb technikákat, nem más, mint a PC-ken lévő észlelőeszközöket kikerülő fenyegetések elszigetelése. Így aztán a “karanténban” a rosszindulatú szoftverek biztonságosan “robbanthatnak”, de a kutatók betekintést nyernek a kiberbűnözők által használt legújabb technikákba.
A legfontosabb fenyegetési vektor az e-mail
Az idei második negyedév adatokat vizsgáló jelentés azt is részletezi, hogy a kiberbűnözők hogyan diverzifikálják a támadási módszereket a biztonsági irányelvek és észlelőeszközök megkerülésével.
A HP Sure Click által azonosított e-mail fenyegetések legalább 12 százaléka megkerülte az e-mail átjáró-ellenőrzőt. Ez az arány nem változott az előző negyedévhez képest.
A legfontosabb fenyegetési vektorok az e-mail mellékletek (61 százalék), a böngészőkből történő letöltések (18 százalék) és egyéb fertőzési vektorok (21 százalék) – például a hordozható merevlemezek, pendrive-ok – voltak.
Az archívumok voltak a legnépszerűbb rosszindulatú programok terjesztési típusai (39 százalék), amelyeknek 26 százaléka .zip-fájl volt.
(Kép: unsplash.com/Andrea de Santis)
