Wie Angreifer KI nutzen, um Malware zu generieren

Das HP-Threat Research-Team entdeckte eine umfangreiche und ausgefeilte ChromeLoader-Kampagne, die über Malvertising verbreitet wird und zu professionell aussehenden gefälschten PDF-Tools führt. Zudem hat das Team Cyberkriminelle beobachtet, die bösartigen Code in SVG-Bilder einbetten.

„Spekulationen, dass Angreifer künstliche Intelligenz einsetzen, sind weit verbreitet. Allerdings gibt es bislang kaum Beweise, daher ist diese Erkenntnis von Bedeutung. Normalerweise verschleiern Angreifer gerne ihre Absichten, um ihre Methoden nicht zu verraten. Dieses Verhalten deutet also darauf hin, dass ein KI-Assistent beim Schreiben des Codes unterstützte. Solche Fähigkeiten senken die Einstiegshürde für Bedrohungsakteure weiter und ermöglichen es Anfängern ohne Programmierkenntnisse, Skripte zu schreiben, Infektionsketten zu entwickeln und schädlichere Angriffe zu starten“, sagt Patrick Schläpfer, Principal Threat Researcher, HP Security Lab.

Malware-Entwicklung „in freier Wildbahn“

Cyber-Kriminelle nutzen GenAI bereits, um überzeugende Phishing-Köder zu erstellen. Bislang gibt es aber nur wenige Hinweise, dass Bedrohungsakteure GenAI-Tools zum Schreiben von Code nutzen. Das HP Team identifizierte eine Kampagne, die auf französischsprachige Nutzer abzielt und VBScript und JavaScript verwendet – und von der die Threat Researcher annehmen, dass sie mit Hilfe von GenAI geschrieben wurde.

Die Struktur der Skripte, Kommentare, die jede Codezeile erläutern, und die Wahl von Funktionsnamen und muttersprachlichen Variablen sind deutliche Hinweise darauf, dass der Bedrohungsakteur GenAI verwendete, um die Malware zu erstellen. Der Angriff infiziert Anwender mit der frei erhältlichen AsyncRAT-Malware, einem leicht zu erlangenden Infostealer, der die Bildschirme und Tastatureingaben der Opfer aufzeichnet. Die Aktivität zeigt, wie GenAI die Hürde für Cyberkriminelle senkt, Endgeräte zu infizieren.

Raffinierte Malvertising-Kampagnen

Die Kampagnen führen zu bösartigen, aber funktionsfähigen PDF-Tools führen: ChromeLoader-Kampagnen werden immer umfangreicher und ausgefeilter. Sie nutzen Malvertising für beliebte Suchbegriffe, um die Opfer auf gut gestaltete Websites zu leiten, die funktionale Tools wie PDF-Reader und -Konverter anbieten. Diese funktionierenden Anwendungen verstecken bösartigen Code in einer MSI-Datei. Gültige Code-Signaturzertifikate umgehen die Windows-Sicherheitsrichtlinien und Benutzerwarnungen – und erhöhen die Chancen einer Infektion. Durch die Installation dieser gefälschten Anwendungen sind Angreifer in der Lage, den Browser des Opfers zu übernehmen und Suchanfragen auf von Cyberkriminellen kontrollierte Websites umzuleiten.

Versteckte Malware in SVG-Bildern (Scalable Vector Graphics)

Einige Cyberkriminelle widersetzen sich dem Trend, indem sie von HTML-Dateien auf Vektorbilder umsteigen, um Malware zu schmuggeln. Vektorbilder – im Grafikdesign weit verbreitet – verwenden in der Regel das XML-basierte SVG-Format. Da sich SVGs automatisch in Browsern öffnen, wird während der Bildanzeige jeder eingebettete JavaScript-Code ausgeführt. Während die Opfer denken, dass sie ein Bild betrachten, interagieren sie mit einem komplexen Dateiformat, das zur Installation mehrerer Arten von Infostealer-Malware führt.

Der Threat Insights Report zeigt auch, wie Cyberkriminelle ihre Angriffsmethoden weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen.

  • Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner. Dies war auch im vorherigen Quartal der Fall.
  • Die wichtigsten Bedrohungsvektoren waren E-Mail-Anhänge (61 Prozent), Downloads von Browsern (18 Prozent) und andere Infektionsvektoren wie Wechseldatenträger, zum Beispiel USB-Sticks und freigegebene Dateien (21 Prozent).
  • Archive waren die beliebteste Art der Malware-Verbreitung (39 Prozent), 26 Prozent davon waren ZIP-Dateien.

Roger Homrich

Recent Posts

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

16 Stunden ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

21 Stunden ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

2 Tagen ago

Pentesting: Vom Luxus zum Standard

Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.

4 Tagen ago

Must-haves einer Sicherheitsstrategie: Deep Observability und Zero Trust

Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…

5 Tagen ago

Open Source: Der gläserne Code als Schutzschild?

Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…

5 Tagen ago