HP divulgou seu mais recente Relatório de Análise de Ameaças que revela como os invasores estão usando IA generativa para ajudar a escrever códigos maliciosos. A equipe de pesquisa de ameaças da HP descobriu uma campanha sofisticada do ChromeLoader que se espalha por meio de publicidade maliciosa, direcionando os usuários para ferramentas PDF falsas e de aparência profissional. Além disso, eles identificaram criminosos cibernéticos incorporando códigos maliciosos em imagens SVG.
O relatório fornece uma análise detalhada de ataques cibernéticos reais, ajudando as organizações a se manterem atualizadas com as técnicas mais recentes que os criminosos cibernéticos empregam para evitar a detecção e comprometer computadores no dinâmico cenário do crime cibernético. Com base em dados de milhões de endpoints que executam o HP Wolf Security, os pesquisadores de ameaças da HP identificaram várias campanhas importantes, incluindo:
- A IA generativa ajuda no desenvolvimento de malware: os criminosos cibernéticos já usam a GenAI para criar ataques de phishing convincentes, mas até o momento há poucas evidências de ameaças que usam ferramentas GenAI para escrever código. A estrutura dos scripts, os comentários que explicam cada linha de código e a escolha de nomes de funções e variáveis no idioma nativo são indicações claras de que o autor da ameaça usou a GenAI para criar o malware. O ataque infecta os usuários com o AsyncRAT, um malware gratuito e de fácil acesso que pode gravar as telas e as teclas digitadas pelas vítimas. Essa atividade demonstra como a GenAI está facilitando a infecção de endpoints pelos criminosos cibernéticos.
- Campanhas publicitárias maliciosas que levam a ferramentas de PDF falsas, mas funcionais: as campanhas do ChromeLoader estão se tornando maiores e mais sofisticadas, contando com malvertising em torno de palavras-chave de pesquisa populares para direcionar as vítimas a sites bem projetados que oferecem ferramentas funcionais, como leitores e conversores de PDF. Esses aplicativos funcionais ocultam o código malicioso em um arquivo MSI, enquanto os certificados válidos de assinatura de código contornam as políticas de segurança do Windows e os avisos ao usuário, aumentando as chances de infecção. A instalação desses aplicativos falsos permite que os atacantes assumam o controle dos navegadores das vítimas e redirecionem as pesquisas para sites controlados pelos atacantes.
- Ocultação de malware em imagens SVG (Scalable Vector Graphics): alguns criminosos cibernéticos estão contrariando a tendência, mudando de arquivos HTML para imagens vetoriais para contrabandear malware. As imagens vetoriais, que são amplamente usadas em design gráfico, geralmente usam o formato SVG baseado em XML. Como os SVGs abrem automaticamente nos navegadores, qualquer código JavaScript incorporado é executado ao visualizar a imagem. Embora as vítimas pensem que estão visualizando uma imagem, elas estão interagindo com um formato de arquivo complexo que leva à instalação de vários tipos de malware do tipo infostealer.
Patrick Schläpfer, pesquisador principal de ameaças do HP Security Lab, comentou: “As especulações sobre o uso de IA pelos atacantes são numerosas e, embora os testes tenham sido limitados, isso torna essa descoberta significativa. Os atacantes geralmente preferem ocultar suas intenções para não revelar seus métodos, portanto, esse comportamento sugere que um assistente de IA foi usado para ajudar a escrever o código. Esses recursos reduzem ainda mais a barreira de entrada para os agentes de ameaças, permitindo que novatos sem conhecimento de codificação escrevam scripts, desenvolvam cadeias de infecção e lancem ataques mais prejudiciais.
Ao isolar as ameaças que iludiram as ferramentas de detecção nos PCs, mas permitindo que o malware seja executado com segurança, o HP Wolf Security tem uma visão específica das técnicas mais recentes usadas pelos criminosos cibernéticos. Até o momento, os clientes da HP Wolf Security clicaram em mais de 40 bilhões de anexos de e-mail, páginas da Web e arquivos baixados sem nenhuma violação relatada.
O relatório, que examina os dados do segundo trimestre de 2024, detalha como os criminosos cibernéticos continuam a diversificar os métodos de ataque para contornar as políticas de segurança e as ferramentas de detecção, como:
Pelo menos 12% das ameaças de e-mail detectadas pelo HP Sure Click contornaram uma ou mais detecções de segurança do tipo gateway de e-mail, o mesmo que no trimestre anterior.
Os principais vetores de ameaças foram anexos de e-mail (61%), downloads do navegador (18%) e outros vetores de infecção, como armazenamento removível (pen drives) e compartilhamentos de arquivos (21%).
Os arquivos foram o método de entrega de malware mais comum (39%), dos quais 26% eram arquivos ZIP.
O Dr. Ian Pratt, Diretor Global de Segurança de Sistemas Pessoais da HP, disse: “Os atacantes estão em constante evolução, usando IA para refinar seus ataques ou desenvolvendo ferramentas maliciosas que evitam a detecção. É por isso que as empresas devem fortalecer sua resiliência, fechando o maior número possível de caminhos de ataque comuns. A adoção de uma estratégia de defesa em profundidade, incluindo o isolamento de atividades de alto risco, como a abertura de anexos de e-mail ou downloads da Web, ajuda a reduzir a superfície de ataque e a neutralizar o risco de infecção.”
O HP Wolf Security executa tarefas de risco em máquinas virtuais isoladas e reforçadas por hardware executadas no endpoint para proteger os usuários sem afetar sua produtividade. . A tecnologia de isolamento de aplicativos da HP atenua as ameaças que podem escapar de outras ferramentas de segurança e fornece informações exclusivas sobre as técnicas de intrusão e o comportamento dos agentes de ameaças.