Threat Insight Report

Angreifer generieren Malware mit KI

Uhr
von Alexandra Hüsler und jor

Laut HPs aktuellem Threat Insight Report setzen Cyberkriminelle generative KI ein, um Malware zu produzieren. Hinweise darauf fand HP in der Struktur der Skripte, Kommentare und der Wahl von Funktionsnamen.

(Source: Stelena - stock.adobe.com)
(Source: Stelena - stock.adobe.com)

Cyberkriminelle setzen auf GenAI, um Code für Malware zu generieren. Zu diesem Schluss kommt das HP-Threat-Research-Team in seinem Threat Insights Report. Die Forschenden analysierten dafür im zweiten Quartal 2024 Daten von Millionen von Endgeräten, auf denen HP Wolf Security läuft.

KI-generierte Malware

Es habe bisher wenige Hinweise darauf gegeben, dass Bedrohungsakteure GenAI-Tools zum Generieren von Codes nutzen, heisst es im Report. Nun habe man aber eine Kampagne identifiziert, die auf französischsprachige User abzielt und VBScript sowie JavaScript verwendet. Die Threat Researcher nehmen indessen anhand der Struktur der Skripte, Kommentare und der Wahl von Funktionsnamen und muttersprachlichen Variablen an, dass die Bedrohungsakteure GenAI verwendeten, um die Malware zu erstellen.

Bei einem Angriff werden die anvisierten Endgeräte mit der frei erhältlichen AsyncRAT-Malware, einem Infostealer, infiziert. Dieser zeichnet den Bildschirm und die Tastenanschläge der Opfer auf. 

"Spekulationen, dass Angreifer künstliche Intelligenz einsetzen, sind weitverbreitet", sagt Patrick Schläpfer, Principal Threat Researcher bei HP Security Lab. "Allerdings gibt es bislang kaum Beweise, daher ist diese Erkenntnis von Bedeutung. Normalerweise verschleiern Angreifer gerne ihre Absichten, um ihre Methoden nicht zu verraten. Dieses Verhalten deutet also darauf hin, dass ein KI-Assistent beim Schreiben des Codes unterstützte. Solche Fähigkeiten senken die Einstiegshürde für Bedrohungsakteure weiter und ermöglichen es Anfängern ohne Programmierkenntnisse, Skripte zu schreiben, Infektionsketten zu entwickeln und schädlichere Angriffe zu starten."

Malvertising und SVG-Bilder

Des Weiteren stellten die Forschenden fest, dass Chromeloader-Kampagnen immer "umfangreicher und ausgefeilter" werden. Dabei wird der bösartige Code über Malvertising für beliebte Suchbegriffe und gut gestaltete Websites als funktionale Tools wie PDF-Reader und -Konverter eingeschleust. Die in einer MSI-Datei versteckten Codes umgehen die Windows-Sicherheitsrichtlinien und Benutzerwarnungen, so der Bericht. Nach der Installation sind Angreifer in der Lage, den Browser des Opfers zu übernehmen und Suchanfragen auf von Cyberkriminellen kontrollierte Websites umzuleiten.

Zudem habe sich in der Analyse der im Q2 gesammelten Daten gezeigt, dass einige Cyberkriminelle "entgegen dem Trend" von HTML-Dateien auf Vektorbilder umsteigen, um Malware zu schmuggeln. Die Vektorbilder im XML-basierten SVG-Format seien im Grafikdesign weit verbreitet, heisst es weiter. SVGs öffnen sich automatisch in Browsern, sodass bei der Bildanzeige jeder eingebettete JavaScript-Code ausgeführt wird und so mehrere Arten von Infostealer-Malware führt. 

 

HP setzt auf isolierte virtuelle Maschinen, um Cyberangriffe abzuwehren. In einem Interview erklärt Ian Pratt, Global Head of Security for Personal Systems, wie das Unternehmen auf durch künstliche Intelligenz zunehmend komplexere Bedrohungen reagiert. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
oUerrUeR