Threat Insights Report: rozkvět sad malware-by-numbers

Protože jsou sady malware-by-numbers dostupnější, cenově přístupnější a snadno použitelné, i začátečníci s omezenými dovednostmi mohou vytvořit efektivní sled kroků pro šíření infekce.

Společnost HP Inc. vydala svou nejnovější zprávu Threat Insights Report, která popisuje, jak kyberzločinci využívají předpřipravené sady umožňující i těm méně zkušeným vytvořit malware (malware-by-numbers) a generativní umělou inteligenci (GenAI) k zefektivnění svých útoků. Tyto nástroje zjednodušují a zkracují tvorbu útočných komponent, takže se kyberzločinci mohou soustředit na experimentování se způsoby, jak obejít detekci, oklamat oběti a infikovat jejich zařízení.

Zpráva analyzuje skutečné kybernetické útoky a pomáhá organizacím držet krok s nejnovějšími technikami, které se aktuálně v rychle se měnícím prostředí kybernetické kriminality používají k obcházení detekčních nástrojů a průnikům. Na základě dat z milionů koncových zařízení vybavených systémem HP Wolf Securityi experti na hrozby společnosti HP identifikovali následující kampaně:

• Sady malware-by-numbers: experti na hrozby společnosti HP zaznamenali rozsáhlé kampaně šířící malware VIP Keylogger a 0bj3ctivityStealer, které využívají stejné techniky a loadery. To naznačuje, že k doručení různého obsahu používají stejné sady malware. V obou kampaních útočníci ukryli stejný škodlivý kód do obrázků na webových stránkách pro hostování souborů, jako například archive.org, a k instalaci škodlivého obsahu použili stejný loader. Obrázky z dobře známých webových stránek se jeví mnohým systémům detekce jako neškodné – obcházejí síťové zabezpečení, jako jsou webové proxy servery, které spoléhají na reputaci webových stránek.
• GenAI pomáhá vytvářet škodlivé dokumenty HTML: výzkumníci také identifikovali kampaň s trojským koněm XWorm (RAT) zahájenou metodou HTML smugglingu, při kterém je do dokumentu vložen škodlivý kód, umožňující stažení a spuštění malwaru. Podobně jako v kampani AsyncRAT analyzované v předchozím čtvrtletí měl loader znaky naznačující, že byl vytvořený pomocí GenAI; například obsahoval popis po jednotlivých řádcích a specifický design HTML stránky.
• Podvádět se nevyplácí: útočníci zneužívají cheaty a modifikační repozitáře v hrách na GitHubu tím, že do nich vkládají spustitelné soubory obsahující malware Lumma Stealer. Tento infostealer vykrádá hesla obětí, kryptopeněženky a shromažďuje informace z prohlížečů. Uživatelé často deaktivují bezpečnostní nástroje, aby mohli stahovat a používat cheaty, čímž se vystavují většímu riziku infekce, pokud nepoužívají technologie izolace.

Alex Holland, hlavní expert na hrozby v HP Security Lab, k tomu říká: „Analyzované kampaně jsou dalším důkazem zpřístupnění kyberkriminality. Protože jsou sady malware-by-numbers dostupnější, cenově přístupnější a snadno použitelné, i začátečníci s omezenými dovednostmi mohou vytvořit efektivní sled kroků pro šíření infekce. Když se k tomu přidá GenAI, která skripty napíše, vstupní bariéry se ještě snižují. Skupiny útočníků se tak mohou soustředit na to, jak nejlépe oklamat své oběti a jakých nástrojů k tomu využít – například útočit na hráče prostřednictvím infikovaných úložišť pro cheaty.“

HP Wolf Security má specifický přehled o nejnovějších technikách používaných kyberzločinci díky tomu, že umí jak izolovat hrozby, které se vyhnuly detekčním nástrojům v počítačích, tak malware bezpečně detonovat. K dnešnímu dni zákazníci HP Wolf Security klikli na více než 65 miliard e-mailových příloh, webových stránek a stažených souborů, aniž by bylo zaznamenáno jakékoli narušení.  

Zpráva vychází z dat za 3. čtvrtletí roku 2024 a podrobně popisuje, jak různorodé způsoby útoků kyberzločinci používají:
• Nejméně 11 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click obešlo jeden nebo více skenerů e-mailových bran;
• Nejoblíbenějším typem malwaru byly spustitelné soubory (40 %), následované archivními soubory (34 %);
• Pozoruhodný nárůst byl zaznamenán u souborů .lzh, které tvořily 11 % analyzovaných archivních souborů – většina škodlivých archivních souborů .lzh byla zaměřena na japonsky mluvící uživatele.

Ian Pratt, ředitel divize Security for Personal Systems ve společnosti HP, uvádí: „Kyberzločinci stále zvyšují rozmanitost, mohutnost a rychlost svých útoků. I když se nyní podaří zachytit škodlivý soubor Excelu, může příště proklouznout archivní soubor. Namísto pokusů o detekci rychle se měnících způsobů útoku by se organizace měly zaměřit na minimalizaci zranitelných míst. To znamená izolovat a omezit rizikové činnosti, jako je otevírání příloh e-mailů, klikání na odkazy a stahování z prohlížeče, aby se snížila pravděpodobnost infekce.“