HP ha pubblicato l’ultimo HP Wolf Security Threat Insights Report che rivela come gli aggressori stiano utilizzando l’intelligenza artificiale generativa per un aiuto a scrivere codice maligno. Il team di ricerca sulle minacce di HP ha individuato un’ampia e raffinata campagna ChromeLoader diffusa tramite malvertising che porta a strumenti PDF malevoli dall’aspetto professionale e ha identificato criminali informatici che incorporano codice dannoso nelle immagini SVG.
Il report fornisce un’analisi dei cyberattacchi del mondo reale, aiutando le organizzazioni a tenere il passo con le tecniche più recenti che i criminali informatici utilizzano per eludere il rilevamento e violare i PC nel panorama della criminalità informatica in rapida evoluzione. Sulla base dei dati provenienti da milioni di endpoint che eseguono HP Wolf Security, le campagne di rilievo identificate dai ricercatori HP sulle minacce includono:
- L’intelligenza artificiale generativa assiste nello sviluppo di malware: I criminali informatici stanno già utilizzando l’AI generativa per creare esche convincenti per il phishing, ma finora ci sono state prove limitate che gli attori delle minacce abbiano utilizzato strumenti GenAI per scrivere codice. Il team ha identificato una campagna che prende di mira gli utenti francofoni utilizzando VBScript e JavaScript che si ritiene siano stati scritti con l’aiuto della GenAI. La struttura degli script, i commenti che spiegano ogni riga di codice e la scelta di nomi di funzioni e variabili in lingua nativa – sottolineano gli esperti di cybersecurity di HP – sono forti indizi del fatto che l’attore delle minacce abbia utilizzato l’AI generativa per creare il malware. L’attacco infetta gli utenti con il malware AsyncRAT, disponibile gratuitamente, un infostealer facile da ottenere che può registrare le schermate e le sequenze di tasti della vittima. Questa attività secondo HP dimostra come la GenAI stia abbassando la soglia di sicurezza per l’infezione degli endpoint da parte dei criminali informatici.
- Sofisticate campagne di malvertising portano a strumenti PDF fraudolenti ma funzionanti: Le campagne di ChromeLoader stanno diventando sempre più ampie e raffinate, basandosi sul malvertising intorno a parole chiave di ricerca popolari per indirizzare le vittime verso siti web ben progettati che offrono strumenti funzionali come lettori e convertitori di PDF. Queste applicazioni funzionanti nascondono il codice dannoso in un file MSI, mentre i certificati di firma del codice validi aggirano i criteri di sicurezza di Windows e gli avvisi agli utenti, aumentando le possibilità di infezione. L’installazione di queste applicazioni false consente agli aggressori di prendere il controllo dei browser delle vittime e di reindirizzare le ricerche verso siti controllati dai criminali informatici.
- Loghi che nascondono il malware in immagini Scalable Vector Graphics (SVG): Alcuni criminali informatici stanno invertendo la tendenza, passando dai file HTML alle immagini vettoriali per l’introduzione furtiva di malware. Le immagini vettoriali, ampiamente utilizzate nella progettazione grafica, utilizzano comunemente il formato SVG basato su XML. Poiché gli SVG si aprono automaticamente nei browser, qualsiasi codice JavaScript incorporato viene eseguito durante la visualizzazione dell’immagine. Mentre le vittime pensano di visualizzare un’immagine, stanno interagendo con un formato di file complesso che porta all’installazione di diversi tipi di malware infostealer.
Patrick Schläpfer, Principal Threat Researcher dell’HP Security Lab, commenta: “Le speculazioni sull’uso dell’intelligenza artificiale da parte degli aggressori sono numerose, ma le prove sono state scarse, quindi questa scoperta è significativa. In genere, i cyber-attacker preferiscono nascondere le loro intenzioni per evitare di rivelare i loro metodi, quindi questo comportamento indica che un assistente AI è stato utilizzato per aiutare a scrivere il loro codice. Tali capacità abbassano ulteriormente la barriera d’ingresso per gli attori delle minacce, consentendo ai novizi senza competenze di coding di scrivere script, sviluppare catene di infezione e lanciare attacchi più dannosi“.
Isolando le minacce che hanno eluso gli strumenti di rilevamento sui PC – ma consentendo comunque al malware di “esplodere” in modo sicuro – HP Wolf Security ha una visione specifica delle ultime tecniche utilizzate dai criminali informatici. Ad oggi, sottolinea l’azienda, i clienti di HP Wolf Security hanno cliccato su oltre 40 miliardi di allegati e-mail, pagine web e file scaricati senza registrare alcuna violazione.
Il rapporto del team di HP, che esamina i dati del secondo trimestre del 2024, illustra in dettaglio come i criminali informatici continuino a diversificare i metodi di attacco per aggirare i criteri di sicurezza e gli strumenti di rilevamento, come ad esempio:
- Almeno il 12% delle minacce via e-mail identificate da HP Sure Click ha aggirato uno o più scanner per gateway e-mail, come nel trimestre precedente.
- I principali vettori di minaccia sono stati gli allegati di posta elettronica (61%), i download dai browser (18%) e altri vettori di infezione, come le memorie rimovibili – come le chiavette USB e le condivisioni di file (21%).
- Gli archivi sono stati il tipo di trasmissione di malware più diffuso (39%), il 26% dei quali erano file ZIP.
Ian Pratt, Global Head of Security for Personal Systems di HP Inc., commenta: “Gli attori delle minacce aggiornano costantemente i loro metodi, sia che si tratti di utilizzare l’intelligenza artificiale per migliorare gli attacchi, sia che si tratti di creare strumenti funzionanti ma dannosi per eludere il rilevamento. Le aziende devono quindi costruire la resilienza, chiudendo il maggior numero possibile di vie di attacco comuni. L’adozione di una strategia di difesa in profondità, che comprenda l’isolamento di attività ad alto rischio come l’apertura di allegati e-mail o download dal web, aiuta a ridurre al minimo la superficie di attacco e a neutralizzare il rischio di infezione“.
HP Wolf Security esegue le attività rischiose in macchine virtuali isolate e dotate di hardware in esecuzione sull’endpoint per proteggere gli utenti, senza impattare sulla loro produttività. Inoltre, cattura tracce dettagliate dei tentativi di infezione. La tecnologia di isolamento delle applicazioni di HP attenua le minacce che possono sfuggire ad altri strumenti di sicurezza e fornisce approfondimenti unici sulle tecniche di intrusione e sul comportamento degli attori delle minacce.