Een nieuw rapport van HP Wolf Security onthult hoe aanvallers generatieve kunstmatige intelligentie gebruiken om te helpen bij het schrijven van schadelijke code. Het threat research team van HP heeft een geavanceerde ChromeLoader-campagne ontdekt die zich verspreidt via kwaadaardige reclame, evenals cybercriminelen die schadelijke code in SVG-afbeeldingen insluiten.
Generatieve AI assisteert bij de ontwikkeling van malware
De onderzoekers van HP identificeerden een campagne gericht op Franstaligen die gebruik maakt van malware waarvan men denkt dat deze is geschreven met de hulp van generatieve AI. De structuur van de scripts, de commentaren die elke regel code uitleggen, en de keuze van functienamen en variabelen in de moedertaal zijn sterke aanwijzingen dat de dreigingsactor generatieve AI heeft gebruikt om de malware te creëren.
Patrick Schläpfer, hoofdonderzoeker naar bedreigingen bij het HP security lab, merkte op: «Speculatie over het gebruik van AI door aanvallers is wijdverbreid, maar het bewijs was schaars, dus deze bevinding is betekenisvol. Aanvallers verbergen doorgaans hun intenties om hun methoden niet te onthullen, dus dit gedrag duidt erop dat er een AI-assistent is gebruikt om hun code te helpen schrijven».
Steeds verfijndere kwaadaardige reclamecampagnes
Het rapport benadrukt ook dat ChromeLoader-campagnes groter en verfijnder worden. Deze campagnes gebruiken kwaadaardige reclame rond populaire zoekwoorden om slachtoffers naar goed ontworpen websites te leiden die functionele hulpmiddelen bieden zoals PDF-lezers en -converters.
Deze ogenschijnlijk legitieme applicaties verbergen schadelijke code in een MSI-bestand. Geldige code signing certificaten stellen hen in staat om Windows-beveiligingsbeleid en gebruikerswaarschuwingen te omzeilen, waardoor de kans op infectie toeneemt.
Malware verborgen in vectorafbeeldingen
In een ongebruikelijke trend schakelen sommige cybercriminelen van HTML-bestanden naar vectorafbeeldingen om malware te smokkelen. Vectorafbeeldingen, veel gebruikt in grafisch ontwerp, maken doorgaans gebruik van het op XML gebaseerde SVG-formaat. Omdat SVG’s automatisch in browsers worden geopend, wordt alle ingebedde JavaScript-code uitgevoerd wanneer de afbeelding wordt bekeken.
Implicaties voor cybersecurity
Dr. Ian Pratt, Global Head of Security voor Persoonlijke Systemen bij HP Inc., sprak zich uit over deze bevindingen: «Dreigingsactoren updaten constant hun methoden, of het nu gaat om het gebruik van AI om aanvallen te verbeteren of het creëren van functionele maar kwaadaardige tools om detectie te omzeilen. Bedrijven moeten daarom veerkracht opbouwen door zoveel mogelijk gangbare aanvalswegen te sluiten».
Het rapport benadrukt de noodzaak voor organisaties om een diepgaande verdedigingsstrategie te adopteren, inclusief het isoleren van activiteiten met een hoog risico zoals het openen van e-mailbijlagen of webdownloads. Deze maatregelen helpen de aanvalsoppervlakte te minimaliseren en het risico op infectie te neutraliseren.