HP Wolf Security: nové důkazy o útocích prostřednictvím malwaru generovaného AI

Nejnovější zpráva HP Wolf Security upozorňuje na využití umělé inteligence při vytváření malwarových skriptů, na malvertising při šíření podvodných nástrojů PDF a na malware v obrazových souborech
Společnost HP zveřejnila svou nejnovější zprávu Threat Insights Report, která ukazuje, jak útočníci využívají generativní umělou inteligenci k psaní škodlivého kódu. Tým pro výzkum hrozeb společnosti HP odhalil rozsáhlou malvertisingovou kampaň ChromeLoaderu, která uživatele směruje k podvodným nástrojům PDF. Dle dalších zjištění kyberzločinci také vkládají škodlivé kódy do obrázků SVG.
Na základě analýzy reálných kybernetických útoků zpráva informuje o nejnovějších hrozbách v rychle se měnícím prostředí.  Analýza staví na datech z milionů uživatelských zařízení se systémem HP Wolf Security. Výzkumníci HP upozorňují na tato nebezpečí:
■ Generativní umělá inteligence se využívá při vývoji malwaru: GenAI už byla využita k phishingu, ale dosud nebylo jisté, že by útočníci používali GenAI k psaní kódu. Tým HP odhalil útok na francouzsky mluvící uživatele, při němž byly použity VBScript a JavaScript. Na základě struktury skriptů, komentářů vysvětlující každý řádek kódu a názvů funkcí a proměnných lze předpokládat, že útočníci malware vytvořili s pomocí GenAI. Útok infikuje uživatele volně dostupným malwarem AsyncRAT, tzv. infostealerem, který dokáže zaznamenávat dění na obrazovce a stisky kláves. Je tak zjevné, že GenAI zjednodušuje přípravu kyberútoků na koncová zařízení.
■ Malvertising vedoucí k podvodným, ale funkčním nástrojům PDF: Útoky ChromeLoaderu se zdokonalují a staví na malvertisingu v souvislosti s často vyhledávanými klíčovými slovy. Oběť přesměrují na důvěryhodně vypadající webové stránky s nabídkou funkčních nástrojů, například pro čtení a konverzi PDF. Tyto funkční aplikace ukrývají škodlivý kód v instalačním souboru MSI, který umožní obejít zabezpečení Windows, čímž zvyšuje pravděpodobnost infekce. Instalace těchto falešných aplikací umožňuje přesměrovat vyhledávání ve webových prohlížečích na útočníkem ovládané stránky. 
■ Malware v obrázcích SVG (Scalable Vector Graphics): někteří kyberzločinci se od souborů HTML odklánějí k použití vektorových obrázků. Vektorové obrázky, hojně používané v grafickém designu, běžně využívají formát SVG založený na XML. Protože se SVG v prohlížečích otevírají automaticky, při prohlížení obrázku se spustí vložený škodlivý kód JavaScript, čímž se do zařízení instaluje malware zcizující informace.
Patrick Schläpfer, hlavní výzkumník hrozeb v HP Security Lab, k tomu říká: „Spekulací o využívání umělé inteligence útočníky je mnoho, ale důkazů je málo, takže naše zjištění je důležité. Obvykle se útočníci snaží zamést stopy, proto si myslíme, že v tomto případě byla při psaní kódu využita AI. To znamená, že se mimo jiné snižuje laťka pro útočníky: i nováčci bez programátorských dovedností teď dokážou psát skripty, vyvíjet infekční řetězce a provádět škodlivější útoky.“
Díky schopnosti izolovat a zároveň bezpečně „detonovat“ malware, získává HP Wolf Security přehled o nejnovějších technikách kyberzločinců. Ačkoliv uživatelé HP Wolf Security dosud klikli na více než 40 miliard e-mailových příloh, webových stránek a stažených souborů, zatím nebyli ohroženi kyberútokem. 
Zpráva se zabývá daty z druhého čtvrtletí roku 2024 a podrobně popisuje, jakým způsobem kyberzločinci postupují, aby obešli bezpečnostní pravidla a detekční nástroje:
■ Nejméně 12 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click dokázalo obejít zabezpečení e-mailu, stejné procento jako v předchozím čtvrtletí.
■ Nejčastěji infekce hrozila v příloze e-mailů (61 %), při stahování z prohlížečů (18 %) anebo na externích úložištích typu USB flash a podobných (21 %).
■ Malware byl nejčastěji do zařízení doručen prostřednictvím archivních souborů (39 %), z nichž 26 % bylo souborů ZIP.
Dr. Ian Pratt, globální ředitel divize Security for Personal Systems ve společnosti HP, uvádí: „Kyberzločinci neustále zdokonalují své metody, od využití umělé inteligence po vývoj funkčních, ale škodlivých nástrojů, které umí obejít ochranu. Je třeba uzavírat běžné cesty, jimiž jsou útoky vedeny, například izolovat vysoce rizikové činnosti typu otevírání příloh e-mailů nebo stahování z webu. Tímto lze zmenšit dopad útoku a omezit riziko infekce.“
HP Wolf Security spouští rizikové úlohy v izolovaném a hardwarově zabezpečeném virtuálním prostoru na koncovém zařízení, čímž uživatele chrání, aniž by ovlivnil jejich produktivitu. Podrobně také dokumentuje pokusy o infekci. Izolováním aplikací HP zmírňuje hrozby, které mohly uniknout detekci jinými bezpečnostními nástroji, a zároveň poskytuje unikátní vhled do aktivit a metod útočníků. (30.10.2024)