Cybergangster aktualisieren Methoden


Beweise, dass Angreifer KI nutzen, um Malware zu generieren
Bericht: Angreifer verwenden GenAI um Malware Skripts zu entwickeln, nutzen Malvertising, um gefälschte PDF-Tools zu verbreiten und betten Malware in Bilddateien ein


Auf der HP Imagine veröffentlichte HP (Hewlett-Packard) ihren neuesten Threat Insights Report. Dieser zeigt, wie Angreifer generative KI nutzen, um bösartigen Code zu schreiben. Das HP-Threat Research-Team entdeckte eine umfangreiche und ausgefeilte ChromeLoader-Kampagne, die über Malvertising verbreitet wird und zu professionell aussehenden gefälschten PDF-Tools führt. Zudem hat das Team Cyberkriminelle beobachtet, die bösartigen Code in SVG-Bilder einbetten.

Der Bericht analysiert reale Cyber-Angriffe und unterstützt Unternehmen dabei, mit den neuesten Techniken von Cyberkriminellen Schritt zu halten. Basierend auf den Daten von Millionen von Endgeräten, auf denen HP Wolf Security läuft, haben die HP Bedrohungsforscher unter anderem folgende Kampagnen identifiziert:

>> Generative KI, die Malware-Entwicklung "in freier Wildbahn" unterstützt: Cyber-Kriminelle nutzen GenAI bereits, um überzeugende Phishing-Köder zu erstellen. Bislang gibt es aber nur wenige Hinweise, dass Bedrohungsakteure GenAI-Tools zum Schreiben von Code nutzen. Das HP Team identifizierte eine Kampagne, die auf französischsprachige Nutzer abzielt und VBScript und JavaScript verwendet – und von der die Threat Researcher annehmen, dass sie mit Hilfe von GenAI geschrieben wurde. Die Struktur der Skripte, Kommentare, die jede Codezeile erläutern, und die Wahl von Funktionsnamen und muttersprachlichen Variablen sind deutliche Hinweise darauf, dass der Bedrohungsakteur GenAI verwendete, um die Malware zu erstellen. Der Angriff infiziert Anwender mit der frei erhältlichen AsyncRAT-Malware, einem leicht zu erlangenden Infostealer, der die Bildschirme und Tastatureingaben der Opfer aufzeichnet. Die Aktivität zeigt, wie GenAI die Hürde für Cyberkriminelle senkt, Endgeräte zu infizieren.

>> Raffinierte Malvertising-Kampagnen, die zu bösartigen, aber funktionsfähigen PDF-Tools führen: ChromeLoader-Kampagnen werden immer umfangreicher und ausgefeilter. Sie nutzen Malvertising für beliebte Suchbegriffe, um die Opfer auf gut gestaltete Websites zu leiten, die funktionale Tools wie PDF-Reader und -Konverter anbieten. Diese funktionierenden Anwendungen verstecken bösartigen Code in einer MSI-Datei. Gültige Code-Signaturzertifikate umgehen die Windows-Sicherheitsrichtlinien und Benutzerwarnungen – und erhöhen die Chancen einer Infektion. Durch die Installation dieser gefälschten Anwendungen sind Angreifer in der Lage, den Browser des Opfers zu übernehmen und Suchanfragen auf von Cyberkriminellen kontrollierte Websites umzuleiten.

>> Dieses Logo ist ein No-Go – Malware in SVG-Bildern (Scalable Vector Graphics) verstecken: Einige Cyberkriminelle widersetzen sich dem Trend, indem sie von HTML-Dateien auf Vektorbilder umsteigen, um Malware zu schmuggeln. Vektorbilder – im Grafikdesign weit verbreitet – verwenden in der Regel das XML-basierte SVG-Format. Da sich SVGs automatisch in Browsern öffnen, wird während der Bildanzeige jeder eingebettete JavaScript-Code ausgeführt. Während die Opfer denken, dass sie ein Bild betrachten, interagieren sie mit einem komplexen Dateiformat, das zur Installation mehrerer Arten von Infostealer-Malware führt.

Patrick Schläpfer, Principal Threat Researcher, HP Security Lab, kommentierte: "Spekulationen, dass Angreifer künstliche Intelligenz einsetzen, sind weit verbreitet. Allerdings gibt es bislang kaum Beweise, daher ist diese Erkenntnis von Bedeutung. Normalerweise verschleiern Angreifer gerne ihre Absichten, um ihre Methoden nicht zu verraten. Dieses Verhalten deutet also darauf hin, dass ein KI-Assistent beim Schreiben des Codes unterstützte. Solche Fähigkeiten senken die Einstiegshürde für Bedrohungsakteure weiter und ermöglichen es Anfängern ohne Programmierkenntnisse, Skripte zu schreiben, Infektionsketten zu entwickeln und schädlichere Angriffe zu starten."

Durch die Isolierung von Bedrohungen, die sich den Erkennungs-Tools auf PCs entziehen – aber dennoch eine sichere Detonation von Malware ermöglicht – erhält HP Wolf Security einen besonderen Einblick in die neuesten Techniken von Cyberkriminellen. Bis heute haben Kunden von HP Wolf Security auf mehr als 40 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass ein Verstoß gemeldet wurde.

Der Bericht untersuchte Daten aus dem 2. Quartal 2024 und zeigt, wie Cyberkriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen, zum Beispiel:
>> Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner. Dies war auch im vorherigen Quartal der Fall.
>> Die wichtigsten Bedrohungsvektoren waren E-Mail-Anhänge (61 Prozent), Downloads von Browsern (18 Prozent) und andere Infektionsvektoren wie Wechseldatenträger, zum Beispiel USB-Sticks und freigegebene Dateien (21 Prozent).
>> Archive waren die beliebteste Art der Malware-Verbreitung (39 Prozent), 26 Prozent davon waren ZIP-Dateien.

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP, erklärte: "Bedrohungsakteure aktualisieren ihre Methoden kontinuierlich – sei es durch den Einsatz von KI, um Angriffe zu verbessern oder indem sie funktionierende, aber bösartige Tools entwickeln, um nicht entdeckt zu werden. Unternehmen müssen daher ihre Widerstandsfähigkeit erhöhen und so viele gängige Angriffswege wie möglich ausschalten. Die Einführung einer Defense-in-Depth-Strategie – einschließlich Isolierung von risikoreichen Aktivitäten wie dem Öffnen von E-Mail-Anhängen oder Web-Downloads – reduziert die Angriffsfläche und neutralisiert das Infektionsrisiko."

HP Wolf Security führt risikoreiche Aufgaben in isolierten, hardwareverstärkten virtuellen Maschinen auf Endgeräten aus. Ziel ist es, Anwender zu schützen, ohne ihre Produktivität zu beeinträchtigen. Außerdem zeichnet HP Wolf Security detaillierte Spuren von Infektionsversuchen auf. Die HP-Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Sicherheitstools entgehen können, und bietet einzigartige Einblicke in Eindringungstechniken und das Verhalten von Bedrohungsakteuren.

Über die Daten
Die Daten wurden mit Zustimmung von HP Wolf Security-Kunden von April bis Juni 2024 erhoben. (Hewlett-Packard HP: ra)

eingetragen: 01.12.24
Newsletterlauf: 06.12.24

Hewlett-Packard: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Studien

  • Einsatz von Threat Intelligence

    Eine aktuelle Kaspersky-Umfrage unter IT-Entscheidern in Deutschland zeigt: Eine große Mehrheit (75 Prozent) der Unternehmen setzt auf Threat Intelligence (TI) als Teil ihrer Sicherheitsstrategie. Während ein Fünftel (21 Prozent) noch deren Einführung plant, konnten zwei Drittel (66 Prozent) durch Threat Intelligence bereits erfolgreich einen Cyberangriff verhindern. Allerdings sehen deutsche Unternehmen Kosten und Budget (49 Prozent) als Herausforderung beim Thema TI.

  • Sicherheitsrisiken persönlicher Cloud-Apps

    Netskope veröffentlichte ihren neuesten Research Report. Er zeigt, dass Unternehmensmitarbeiter aufgrund der zunehmenden Verbreitung und Raffinesse von Phishing-Angriffen im Jahr 2024 fast dreimal so viel auf Phishing-Köder geklickt haben wie im Vorjahr. Die Ergebnisse basieren auf den von Netskope gesammelten Daten von Unternehmen weltweit und werden im Rahmen des jährlichen Cloud & Threat Report von Netskope veröffentlicht. Sie decken die wachsenden Sicherheitsrisiken im Zusammenhang mit der anhaltenden Nutzung von persönlichen Cloud-Apps und der kontinuierlichen Einführung von genAI-Tools am Arbeitsplatz auf. Außerdem verdeutlichen die Ergebnisse die Notwendigkeit der Einführung moderner Datensicherheit, um dieses Risiko proaktiv zu verwalten.

  • ASPM-Plattform ermöglicht die Konsolidierung

    Nirgendwo auf der Welt wird Application Security (AppSec) so großgeschrieben wie in Deutschland. Das belegt der State of ASPM Report von Cycode, dem Pionier im Bereich Application Security Posture Management (ASPM). Deutschland ist damit Vorreiter in Sachen Anwendungssicherheit - doch getan ist die Arbeit damit leider noch nicht.

Unklare Vorgaben für die Cybersicherheitsstrategie Sicherheitsmängel in EMEA-Organisationen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen