Ataki z użyciem AI, złośliwe aplikacje bankowe i deepfake’i. Jak wyglądał globalny krajobraz cyberzagrożeń w pierwszym półroczu 2024 r?
Dynamiczny wzrost oszustw finansowych, wymierzonych w użytkowników Androida, a także złośliwego oprogramowania atakującego użytkowników bankowości mobilnej – czy to w postaci dobrze już znanych, fałszywych aplikacji bankowych, czy też, coraz częściej, tzw. kryptostealerów (a więc złośliwego oprogramowania wykradającego informacje dot. kryptowalut) – to jedne z wyraźniejszych trendów, wynikających z raportu ESET, podsumowującego globalny krajobraz zagrożeń w cyberprzestrzeni od grudnia 2023 do maja 2024. Co ciekawe, z danych wynika, że Polska znalazła się m.in. wśród krajów z największą częstotliwością atakowanych przez cyberprzestępców wykorzystujących luki w WordPress.
Pierwsze półrocze 2024 roku wyraźnie pokazało, że cyberprzestępcy w bardzo kreatywny sposób wykorzystują nowe technologie i możliwości. Eksperci ESET informują m.in. że złośliwe oprogramowanie coraz częściej podszywa się pod aplikacje i narzędzia AI, a nowy mobilny typ malware GoldPickaxe jest zdolny do kradzieży i wykorzystania danych związanych z rozpoznawaniem twarzy. Na tej podstawie tworzy fałszywe filmy wideo wykorzystywane do uwierzytelniania nieuczciwych transakcji finansowych. Z kolei gry wideo i online mogą zawierać złośliwe oprogramowanie, takie jak RedLine Stealer, którego występowanie zdecydowanie zintensyfikowało się w pierwszej połowie 2024 r.
Na skróty:
Uwaga na AI
Od 2023 r. ESET Research coraz częściej obserwuje cyberprzestępców wykorzystujących AI. Sięgają oni zarówno po określone narzędzia, jak i wykorzystują fakt, że użytkownicy są mocno zainteresowani technologiami z zakresu szeroko pojętej sztucznej inteligencji. W ostatnich miesiącach złośliwe oprogramowanie zaczęło podszywać się pod narzędzia generatywnej sztucznej inteligencji. W pierwszej połowie 2024 r. zauważono, że złośliwy Rilide Stealer nadużywał nazw asystentów generatywnej sztucznej inteligencji, takich jak Sora OpenAI i Gemini Google, aby wabić potencjalne ofiary. W innej złośliwej kampanii infostealer Vidar wykorzystywał fałszywą aplikację na Windows dla generatora obrazów AI Midjourney – mimo że model AI Midjourney jest dostępny tylko za pośrednictwem Discord.
Luki w WordPress i polski wątek
Balada Injector, gang znany z wykorzystywania luk we wtyczkach WordPress, także zintensyfikował swoje działania w pierwszej połowie 2024 roku. Naraził na szwank ponad 20 tys. stron internetowych, poprzez wstrzyknięcie złośliwego kodu JavaScript, a działania te były ponad 400 tys. razy wykrywane przez systemy telemetryczne ESET w pierwszym półroczu 2024 roku. Co ciekawe, wśród krajów w których miało miejsce najwięcej takich sytuacji, z użyciem najświeższego wariantu tego zagrożenia, znalazła się Polska (9%), a tuż za nią Francja (7%) i Stany Zjednoczone (6%).
Miłośnicy gier namierzani
Rośnie także liczba ataków wymierzonych w entuzjastów gier komputerowych. W badanym przez ESET okresie zaobserwowano m.in. że niektóre zhackowane gry wideo i narzędzia służące do oszustw w grach online w trybie multiplayer zawierały złośliwe oprogramowanie , takie jak Lumma Stealer i RedLine Stealer. RedLine Stealer odnotował kilka skoków wykrywalności w pierwszej połowie 2024 r. Były to kampanie cyberprzestępcze wymierzone w użytkowników z Hiszpanii, Japonii i Niemiec. Eksperci podkreślają, że częstotliwość wykrywania RedLine Stealer w pierwszej połowie 2024 r. wzrosła w porównaniu do drugiej połowy 2023 r. o jedną trzecią.
Uwierzytelnianie poprzez rozpoznawanie twarzy na celowniku
Podstępny sposób działania złośliwego oprogramowania GoldPickaxe, ujawniony w ostatnim czasie, pokazuje, że rozpoznawanie twarzy jako część procesu uwierzytelniania cyfrowego jest technologią, którą cyberprzestępcy są w stanie częściowo obejść. GoldPickaxe to malware z wersją zarówno na Androida, jak i iOS, atakujący przede wszystkim użytkowników w Azji Południowo-Wschodniej. Badacze z ESET zbadali tę rodzinę złośliwego oprogramowania i odkryli, że „starsze rodzeństwo” GoldPickaxe na Androida, zwane GoldDiggerPlus, operuje głównie w Ameryce Łacińskiej i Afryce Południowej.