Firma HP opublikowała swój najnowszy raport Threat Insights Report, w którym podkreśla, w jaki sposób cyberprzestępcy wykorzystują rozmaite narzędzia do tworzenia złośliwego oprogramowania, w tym generatywną sztuczną inteligencję (GenAI), w celu poprawy skuteczności swoich ataków. Narzędzia te pozwalają cyberprzestępcom szybciej i łatwiej przygotowywać ataki, bez potrzeby zaawansowanej wiedzy technicznej. Zamiast tego mogą skupić się na udoskonalaniu technik infekowania punktów końcowych czy metod ukrywania złośliwego oprogramowania, na przykład poprzez ukrywanie szkodliwego kodu w plikach graficznych.
Bazując na analizie rzeczywistych cyberataków i danych z milionów urządzeń (HP Wolf Security1), raport przedstawia najważniejsze trendy w cyberzagrożeniach. Wśród najistotniejszych kampanii hakerskich analitycy wyróżnili:
- Gotowe zestawy złośliwego oprogramowania (tzw. malware-by-numbers), które otwierają nowe możliwości dla cyberprzestępców: Analitycy zidentyfikowali dwie znaczące kampanie wykorzystujące programy VIP Keylogger i 0bj3ctivityStealer, wykorzystując identyczne techniki. Przestępcy zastosowali tą samą zaawansowaną metodę ukrywania złośliwego kodu w plikach graficznych, umieszczanych na powszechnie znanych platformach, takich jak archive.org i w ten sam sposób instalowali finalną wersję szkodliwego oprogramowania. Ta technika pozwala skutecznie omijać zabezpieczenia sieciowe (takie jak proxy internetowe), które zazwyczaj ufają treściom pochodzącym z renomowanych źródeł.
- GenAI wspiera tworzenie złośliwego HTML: Szczególnie niepokojący trend stanowi wykorzystanie sztucznej inteligencji w tworzeniu szkodliwego oprogramowania. W przypadku kampanii trojana zdalnego dostępu (RAT) Xworm analitycy odkryli charakterystyczne ślady wskazujące na użycie AI w generowaniu złośliwego kodu HTML. Podobne wzorce zaobserwowano wcześniej w przypadku kampanii AsyncRAT, co wskazuje, że opis oraz projekt strony mógł zostać napisany przy pomocy GenAI () i potwierdza rosnące znaczenie sztucznej inteligencji w narzędziach stosowanych przez cyberprzestępców.
- Społeczność graczy na celowniku cyberprzestępców: Nowym obszarem zainteresowania przestępców stały się platformy związane z grami wideo. Wykryto szeroko zakrojoną kampanię wykorzystującą złośliwe oprogramowanie Lumma Stealer, które rozpowszechniane jest poprzez repozytoria modyfikacji do gier na platformie GitHub. Przestępcy wykorzystują fakt, że gracze, chcąc instalować nieoficjalne modyfikacje i korzystać z cheatów, często świadomie wyłączają zabezpieczenia swoich systemów. W efekcie złośliwe oprogramowanie może łatwiej wykradać hasła, dane portfeli kryptowalut oraz informacje z przeglądarek.
Alex Holland, Principal Threat Researcher w HP Security Lab, wyjaśnia:
„Najnowsze badania potwierdzają niepokojący trend komercjalizacji cyberprzestępczości. Dzięki łatwo dostępnym i przystępnym cenowo zestawom złośliwego oprogramowania, nawet osoby bez wnikliwej wiedzy technicznej mogą stworzyć łańcuch infekcji i przeprowadzać skuteczne cyberataki. Sytuację dodatkowo komplikuje rozwój sztucznej inteligencji, która jeszcze bardziej ułatwia tworzenie szkodliwych programów. W efekcie przestępcy mogą skupić się na dopasowywaniu metod ataku do konkretnych grup odbiorców – czego przykładem są właśnie ataki wymierzone w graczy poprzez fałszywe repozytoria cheatów”.
Dzięki unikalnej technologii izolowania potencjalnych zagrożeń, HP Wolf Security może szczegółowo analizować najnowsze metody działania cyberprzestępców, pozwalając na bezpieczną obserwację złośliwego oprogramowania w kontrolowanym środowisku. Co istotne, użytkownicy rozwiązań HP Wolf Security bezpiecznie otworzyli ponad 65 miliardów załączników e-mail, stron internetowych i pobranych plików, nie doświadczając żadnego naruszenia bezpieczeństwa.
Raport, który analizuje dane z III kwartału 2024 r., szczegółowo opisuje, w jaki sposób cyberprzestępcy nadal dywersyfikują metody ataków, aby ominąć narzędzia bezpieczeństwa:
- Co najmniej 11% zagrożeń e-mail zidentyfikowanych przez HP Sure Click ominęło co najmniej jeden skaner bramki e-mail.
- Pliki wykonywalne były najpopularniejszym typem dostarczanego złośliwego oprogramowania (40%), a zaraz za nimi uplasowały się pliki archiwalne (34%).
- Odnotowano znaczny wzrost liczby plików .lzh, które stanowiły 11% przeanalizowanych plików archiwów – przy czym większość złośliwych plików archiwów .lzh była skierowana do japońskojęzycznych użytkowników.
Ian Pratt, Global Head of Security for Personal Systems w HP Inc. stwierdził:
„Cyberprzestępcy stale udoskonalają swoje metody ataku, które są coraz bardziej zróżnicowane i szybsze. Gdy jedna metoda zostaje zablokowana, natychmiast zastępują ją inną. Zamiast koncentrować się na wykrywaniu wciąż ewoluujących zagrożeń, organizacje powinny przede wszystkim ograniczać możliwości ataku. W praktyce oznacza to stosowanie dodatkowych zabezpieczeń przy najbardziej ryzykownych działaniach, takich jak otwieranie załączników mailowych, klikanie linków czy pobieranie plików z internetu”.
Informacje o danych
Dane te zostały zebrane od klientów HP Wolf Security, którzy wyrazili na to zgodę w okresie od lipca do września 2024 roku.