štvrtok 23. januára 2025

Malvér: Priamo v obrázkoch

Najnovšia správa Threat Insights Report popisuje, ako kyberzločinci využívajú predpripravené sady umožňujúce aj tým menej skúseným z nich vytvoriť malvér (malware-by-numbers) a generatívnu umelú inteligenciu (GenAI) na zefektívnenie svojich útokov. Tieto nástroje zjednodušujú a zrýchľujú tvorbu útočných komponentov, takže kyberzločinci sa môžu sústrediť na experimentovanie so spôsobmi ako obísť detekciu, oklamať obete a infikovať ich zariadenia.

Správa analyzuje skutočné kybernetické útoky. Na základe údajov z miliónov koncových zariadení vybavených systémom HP Wolf Security experti na hrozby spoločnosti HP identifikovali nasledujúce kampane:
• Súbory malware-by-numbers: experti na hrozby zaznamenali rozsiahle kampane šíriace malvé VIP Keylogger a 0bj3ctivityStealer, ktoré využívajú rovnaké techniky a loadery. To naznačuje, že na doručenie rôzneho obsahu používajú rovnaké sady malvéru. V oboch kampaniach ukryli útočníci rovnaký škodlivý kód do obrázkov na webových stránkach na hosťovanie súborov, ako napríklad archive.org, a na inštaláciu škodlivého obsahu použili rovnaký loader. Obrázky z dobre známych webových stránok sa javia mnohým systémom detekcie ako neškodné – obchádzajú sieťové zabezpečenie ako sú webové proxy servery, ktoré sa spoliehajú na reputáciu webových stránok.
• GenAI pomáha vytvárať škodlivé dokumenty HTML: výskumníci tiež identifikovali kampaň s trójskym koňom XWorm (RAT) začatou metódou HTML smugglingu, pri ktorom je do dokumentu vložený škodlivý kód umožňujúci stiahnutie a spustenie malwaru. Podobne ako v kampani AsyncRAT analyzovanej v predchádzajúcom štvrťroku, mal loader znaky naznačujúce, že bol vytvorený pomocou GenAI – napríklad obsahoval popis po jednotlivých riadkoch a špecifický dizajn HTML stránky.
• Podvádzať sa nevypláca: útočníci zneužívajú cheaty a modifikačné repozitáre v hrách na GitHube tým, že do nich vkladajú spustiteľné súbory obsahujúce malware Lumma Stealer. Tento infostealer vykráda heslá obetí, kryptopeňaženky a zhromažďuje informácie z prehliadačov. Požívatelia často deaktivujú bezpečnostné nástroje, aby mohli sťahovať a používať cheaty, čím sa vystavujú väčšiemu riziku infekcie, pokiaľ nepoužívajú technológie izolácie.

Správa vychádza z dát za 3. štvrťrok roku 2024 a popisuje, ako rôznorodé spôsoby útokov kyberzločinci používajú:
• Najmenej 11 % e-mailových hrozieb identifikovaných nástrojom HP Sure Click obišlo jeden alebo viac skenerov emailových brán.
• Najobľúbenejším typom malvéru boli spustiteľné súbory (40 %), nasledované archívnymi súbormi (34 %).
• Pozoruhodný nárast bol zaznamenaný u súborov .lzh, ktoré tvorili 11 % analyzovaných archívnych súborov – väčšina škodlivých archívnych súborov .lzh bola zameraná na japonsky hovoriacich používateľov.