Um novo relatório aponta para a utilização de IA na criação de scripts de malware.
A HP publicou o seu mais recente relatório Threat Insights, onde prova como os atacantes estão a utilizar a inteligência artificial generativa para ajudar a escrever código malicioso. A equipa de investigação de ameaças da HP descobriu uma grande e refinada campanha do ChromeLoader espalhada através de publicidade maliciosa que conduz a falsas ferramentas PDF de aspeto profissional, tendo identificado cibercriminosos que incorporam código malicioso em imagens SVG.
O relatório fornece uma análise de ciberataques reais, ajudando as organizações a manterem-se a par das mais recentes técnicas que os cibercriminosos estão a utilizar, de modo a que consigam evitar a deteção e violação dos PCs. Com base em dados de milhões de terminais que executam o HP Wolf Security, as campanhas identificadas pelos investigadores de ameaças da HP incluem:
- IA generativa ajuda ao desenvolvimento de malware: Os cibercriminosos já estão a utilizar a GenAI para criar iscos de phishing convincentes, mas, até à data, há poucas provas de que os autores de ameaças utilizem ferramentas GenAI para escrever código. A equipa identificou uma campanha dirigida a falantes de francês que utilizava VBScript e JavaScript que se acredita terem sido escritos com a ajuda do GenAI. A estrutura dos scripts, os comentários que explicam cada linha de código e a escolha de nomes de funções e variáveis na língua nativa são fortes indícios de que o agente da ameaça utilizou GenAI para criar o malware. O ataque infeta os utilizadores com o malware AsyncRAT disponível gratuitamente, um infostealer fácil de obter que pode gravar os ecrãs e as teclas premidas pela vítima. A atividade mostra como a GenAI está a baixar a fasquia para os cibercriminosos infetarem os terminais.
- Campanhas de publicidade maliciosa que conduzem a ferramentas PDF nocivas, mas funcionais: As campanhas do ChromeLoader estão a tornar-se maiores e cada vez mais polidas, baseando-se na publicidade maliciosa em torno de palavras-chave de pesquisa populares para encaminhar as vítimas para sítios Web bem concebidos que oferecem ferramentas funcionais, como leitores e conversores de PDF. Estas aplicações funcionais escondem código malicioso num ficheiro MSI, enquanto os certificados válidos de assinatura de código contornam as políticas de segurança do Windows e os avisos do utilizador, aumentando a probabilidade de infeção. A instalação destas aplicações falsas permite que os atacantes assumam o controlo dos browsers das vítimas e redirecionem as pesquisas para sites controlados pelos atacantes.
- Este logótipo é proibido – esconder malware em imagens SVG (Scalable Vetor Graphics): alguns cibercriminosos estão a contrariar a tendência, mudando de ficheiros HTML para imagens vetoriais para contrabandear malware. As imagens vetoriais, muito utilizadas no design gráfico, utilizam normalmente o formato SVG baseado em XML. Como os SVG abrem automaticamente nos browsers, qualquer código JavaScript incorporado é executado à medida que a imagem é visualizada. Enquanto as vítimas pensam que estão a ver uma imagem, estão a interagir com um formato de ficheiro complexo que leva à instalação de vários tipos de malware infostealer.
Patrick Schläpfer, Investigador Principal de Ameaças no Laboratório de Segurança da HP, comenta:
“A especulação sobre a utilização de IA por parte dos atacantes é abundante, mas as provas têm sido escassas, pelo que esta descoberta é significativa. Normalmente, os atacantes gostam de ocultar as suas intenções para evitar revelar os seus métodos, pelo que este comportamento indica que foi utilizado um assistente de IA para ajudar a escrever o seu código. Estas capacidades reduzem ainda mais a barreira à entrada dos agentes de ameaças, permitindo que novatos sem conhecimentos de programação escrevam scripts, desenvolvam cadeias de infeção e lancem ataques mais prejudiciais”.
Ao isolar as ameaças que escaparam às ferramentas de deteção nos PC – mas que ainda permitem que o malware seja detonado em segurança -, a HP Wolf Security tem uma visão específica das mais recentes técnicas utilizadas pelos cibercriminosos. Até à data, os clientes da HP Wolf Security clicaram em mais de 40 mil milhões de anexos de correio eletrónico, páginas Web e ficheiros descarregados, sem que tenham sido comunicadas quaisquer violações.
Inteligência artificial leva o malware para o próximo nível
O relatório, que examina os dados do calendário do segundo trimestre de 2024, detalha como os cibercriminosos continuam a diversificar os métodos de ataque para contornar as políticas de segurança e as ferramentas de deteção, tais como:
- Pelo menos 12% das ameaças de e-mail identificadas pelo HP Sure Click contornaram um ou mais scanners de gateway de e-mail, o mesmo que no trimestre anterior.
- Os principais vetores de ameaça foram os anexos de correio eletrónico (61%), as transferências a partir de browsers (18%) e outros vetores de infeção, como o armazenamento amovível – como unidades USB e partilhas de ficheiros (21%).
- Os ficheiros foram o tipo de entrega de malware mais popular (39%), 26% dos quais eram ficheiros ZIP.
Dr. Ian Pratt, Diretor Global de Segurança para Sistemas Pessoais da HP, explica:
“Os autores de ameaças estão constantemente a atualizar os seus métodos, quer utilizando a IA para melhorar os ataques, quer criando ferramentas funcionais, mas maliciosas, para contornar a deteção. Por isso, as empresas devem criar resiliência, fechando o maior número possível de rotas de ataque comuns. A adoção de uma estratégia de defesa em profundidade – incluindo o isolamento de atividades de alto risco, como abrir anexos de e-mail ou downloads da Web – ajuda a minimizar a superfície de ataque e a neutralizar o risco de infeção.”
