A HP Inc. legújabb Fenyegetés-jelentése (Threat Insights Report) bemutatta, hogy az online bűmnözők hogyan használják a malware-készleteket és a generatív mesterséges intelligenciát (GenAI) támadásaik hatékonyságának növelésére.
A HP jelentése szerint a z új, rosszindulatú eszközök csökkentik a támadási komponensek létrehozásához szükséges időt és szakértelmet, lehetővé téve a támadók számára, hogy a felderítés megkerülésére és az áldozatok végpontjaik megfertőzésére irányuló technikák kikísérletezésére összpontosítsanak, például a rosszindulatú kód képekbe való beágyazására. A jelentés valós kibertámadások elemzését nyújtja, segítve a szervezeteket abban, hogy lépést tartsanak a legújabb technikákkal, amelyeket a kiberbűnözők a felderítés megkerülésére és a számítógépek feltörésére használnak a gyorsan változó kiberbűnözési környezetben. A HP Wolf Security1 rendszert futtató több millió végpont adatai alapján a HP fenyegetéskutatói által azonosított figyelemre méltó kampányok a következők.
Malware-by-numbers készletek
A HP fenyegetéskutatói olyan nagy kampányokat figyeltek meg, amelyek a VIP Keylogger és a 0bj3ctivityStealer rosszindulatú szoftvereket terjesztik, amelyek ugyanazokat a technikákat és betöltőprogramokat használják, ami arra utal, hogy a rosszindulatú szoftverek különböző hasznos terhelések szállítására szolgáló készleteket használnak. Mindkét kampányban a támadók ugyanazt a rosszindulatú kódot rejtették el képekben az olyan fájlszolgáltató webhelyeken, mint az archive.org. Az ilyen technikák segítenek a támadóknak megkerülni a felderítést, mivel a képfájlok jóindulatúnak tűnnek, amikor jól ismert webhelyekről töltik le őket, így megkerülve a hálózati biztonságot, például a hírnévre támaszkodó webproxykat.
A GenAI segít rosszindulatú HTML-dokumentumok létrehozásában
A kutatók azonosítottak egy XWorm távoli hozzáférést biztosító trójai (RAT) kampányt is, amely egy HTML oldalba kódolt rosszindulatú programot tartalmaz, amely letölti és futtatja a kártevőt. Figyelemre méltó, hogy az előző negyedévben elemzett AsyncRAT-kampányhoz hasonlóan a betöltő olyan ismertetőjegyeket viselt, amelyek arra utalnak, hogy a GenAI segítségével íródhatott, például a soronkénti leírás és a HTML-oldal kialakítása.
A játékcsalók rosszul járnak
A támadók veszélyeztetik a GitHubon tárolt videojáték-csalóeszközöket és módosítási tárakat, és Lumma Stealer malware-t tartalmazó futtatható fájlokat adnak hozzá. Ez az infolopó letölti az áldozatok jelszavait, kriptotárcáit és böngészőinformációit. A felhasználók gyakran kikapcsolják a biztonsági eszközöket a csalások letöltéséhez és használatához, így nagyobb fertőzésveszélynek vannak kitéve, ha nincs elszigetelő technológia.
„Az elemzett kampányok újabb bizonyítékot szolgáltatnak a kiberbűnözés árucikké válására. Mivel a malware-by-numbers készletek egyre szabadabban hozzáférhetőek, megfizethetőek és könnyen használhatóak, még a korlátozott készségekkel és ismeretekkel rendelkező kezdők is összeállíthatnak egy hatékony fertőzési láncot. Ha a GenAI-t is belevesszük a szkriptek megírásához, a belépési korlátok még alacsonyabbak lesznek. Ez lehetővé teszi a csoportok számára, hogy a célpontjaik becsapására és a feladathoz legmegfelelőbb hasznos teher kiválasztására koncentráljanak – például a játékosok megcélzásával, rosszindulatú csalási tárolókkal” — jelentette ki Alex Holland, a HP biztonsági laboratóriumának vezető fenyegetéskutatója.
A támadási felület csökkentésére kellene összpontosítani
A jelentés, amely 2024 harmadik negyedévének adatait vizsgálja, részletesen bemutatja, hogy a kiberbűnözők hogyan diverzifikálják tovább a támadási módszereket, hogy megkerüljék az észlelésre épülő biztonsági eszközöket, mint például:
- A HP Sure Click által azonosított e-mail fenyegetések legalább 11 százaléka megkerült egy vagy több e-mail átjáró-ellenőrzőt.
- A végrehajtható fájlok voltak a legnépszerűbb rosszindulatú programok átviteli típusa (40 százalék), amelyet az archív fájlok követtek (34 százalék).
- Figyelemre méltó volt az .lzh fájlok számának növekedése, amelyek az elemzett archív fájlok 11 százalékát tették ki – a legtöbb rosszindulatú .lzh archív fájl a japán nyelvű felhasználókat célozta meg.
„A kiberbűnözők rohamosan növelik támadásaik változatosságát, mennyiségét és sebességét. Ha egy rosszindulatú Excel-dokumentumot blokkolnak, a következő támadásban egy archív fájl átcsúszhat a hálón. Ahelyett, hogy a gyorsan változó fertőzési módszereket próbálnák felderíteni, a szervezeteknek a támadási felület csökkentésére kellene összpontosítaniuk. Ez azt jelenti, hogy a kockázatos tevékenységeket, például az e-mail mellékletek megnyitását, a linkekre való kattintást és a böngészőből történő letöltéseket elszigetelik és korlátozzák, hogy csökkentsék a behatolás esélyét” — mondta Ian Pratt, a HP személyi rendszerekért felelős globális biztonsági vezetője.
| English summary HP’s latest Threat Insights Report reveals cybercriminals are exploiting malware kits and GenAI to enhance attack efficiency. Specifically, attackers are embedding malicious code within images on websites to evade detection. Furthermore, GenAI assists in creating malicious HTML documents, simplifying attack development. Compromised video game cheat tools on GitHub are also used, distributing Lumma Stealer malware. These kits allow even novices to create effective infection chains. Consequently, organizations should focus on isolating risky activities, rather than relying solely on detection methods. Notably, HP Wolf Security isolates threats, capturing detailed traces of attempted infections. Finally, the report highlights the increasing diversity of attack methods, with executables and archive files remaining popular delivery types. |
