Evidências do uso de IA por hackers são encontradas pelo HP Wolf Security

A HP Inc. publicou durante o HP Imagine, seu mais recente Relatório Threat Insights, que revela como os hackers estão usando a IA generativa para ajudá-los a escrever códigos maliciosos. O time de pesquisa de ameaças da HP descobriu que uma grande e refinada campanha do ChromeLoader foi disseminada por meio de anúncios maliciosos que direcionavam os usuários para ferramentas falsas de PDF com aparência profissional. Além disso, identificou criminosos cibernéticos que estão embedando códigos maliciosos em imagens SVG.

O relatório apresenta uma análise de ataques cibernéticos do mundo real, ajudando as organizações a se manterem atualizadas sobre as mais novas técnicas que o cibercrime está usando para escapar da detecção e violar PCs em um dinâmico cenário de crimes cibernéticos. Com base em dados de milhões de endpoints que rodam o HP Wolf Security, os pesquisadores de ameaças da HP identificaram campanhas como:

• IA generativa auxilia o desenvolvimento de malware: os criminosos cibernéticos já estão usando IA generativa para criar iscas convincentes de phishing, mas até o momento há poucas evidências de agentes de ameaças usando ferramentas de IA generativa para escrever códigos. O time identificou uma campanha que mirava falantes de francês usando códigos em VBScript e JavaScript que teriam sido escritos com ajuda de IA generativa. A estrutura dos scripts, os comentários que explicavam cada linha dos códigos e a escolha de nomes e variáveis das funções em língua nativa são fortes indicativos de que o agente da ameaça usou IA generativa para criar o malware. O ataque infecta os usuários com o malware gratuito AsyncRAT, um infostealer fácil de obter que pode gravar as telas e teclagens da vítima. A atividade mostra como a IA generativa está reduzindo as barreiras para os cibercriminosos infectarem dispositivos.

• Campanhas astutas de malvertising que levam a ferramentas de PDF falsificadas, mas que funcionam: as campanhas de ChromeLoader estão se tornando maiores e cada vez mais refinadas, usando publicidade maliciosa com palavras popularmente pesquisadas para direcionar as vítimas a sites bem desenhados que oferecem ferramentas funcionais, como leitores e conversores de PDF. Esses aplicativos funcionais escondem códigos maliciosos em um arquivo MSI, enquanto certificados válidos de assinatura de código driblam as políticas de segurança e alertas do Windows, aumentando a chance de infecção. Instalar esses aplicativos fake permite que os invasores assumam o controle dos navegadores da vítima e redirecionem suas pesquisas para sites que eles controlam.

• Este logo é problemático – malware Escondido em imagens do tipo Scalable Vector Graphics (SVG): alguns criminosos cibernéticos estão desafiando a tendência ao substituir arquivos HTML por imagens vetorizadas para contrabandear malware. Imagens vetorizadas, amplamente usadas na área de design gráfico, normalmente utilizam o formato SVG baseado em XML. Como SVGs são abertos automaticamente nos navegadores, qualquer código de JavaScript embedado neles é executado quando a imagem é visualizada. As vítimas acham que estão apenas visualizando uma imagem, quando, na verdade, estão interagindo com um formato de arquivo complexo, que propicia que vários tipos de malware de roubo de informações (infostealer) sejam instalados.

“São muitas as especulações sobre a IA sendo usada por hackers, mas as evidências têm sido escassas, por isso essa descoberta é importante. Tipicamente, os invasores gostam de encobrir suas intenções para evitarem revelar seus métodos, então esse comportamento indica que um assistente de IA foi usado para ajudá-los a escrever seus códigos. Essas capacidades reduzem ainda mais a barreira de entrada para os agentes de ameaças, permitindo que novatos sem habilidades de programação escrevam scripts, desenvolvam cadeias de infecção e lancem ataques mais prejudiciais”, comenta Patrick Schläpfer, diretor de pesquisa de ameaças do HP Security Lab.

Ao isolar ameaças que escaparam das ferramentas de detecção nos PCs ­– mas permitindo que o malware seja detonado com segurança –, o HP Wolf Security tem insights específicos sobre as mais novas técnicas usadas pelo cibercrime. Até hoje, os clientes do HP Wolf Security já clicaram em mais de 40 bilhões de anexos de e-mail e páginas na internet, bem como baixaram arquivos, sem registro de violações.

O relatório, que analisa dados do segundo trimestre do ano-calendário de 2024, detalha como os criminosos cibernéticos continuam diversificando os métodos de ataque para driblar as normas de segurança e as ferramentas de detecção, incluindo:

• Pelo menos 12% das ameaças via e-mail identificadas pelo HP Sure Click escaparam de um ou mais escaneamento no gateway do e-mail, a mesma taxa do trimestre anterior.
• Os principais vetores de ameaças foram anexos de e-mail (61%), downloads a partir de navegadores (18%) e outros vetores de infecção, tais como armazenamento removível – como pendrives e compartilhamentos de arquivos (21%).
• Os arquivos foram o tipo de entrega de malware mais popular (39%), 26% dos quais foram arquivos ZIP.

“Os agentes de ameaças estão constantemente atualizando seus métodos, seja usando IA para aperfeiçoar os ataques, seja criando ferramentas funcionais, mas maliciosas, para driblar a detecção. Então, as empresas precisam aumentar a resiliência, fechando o máximo possível das rotas comuns de ataque. Adotar uma estratégia de defesa em profundidade – inclusive isolando atividades de alto risco, como abertura de anexos de e-mail e downloads na internet – ajuda a minimizar a superfície de ataque e a neutralizar o risco de infecção”, explica Dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc.

O HP Wolf Security roda tarefas arriscadas em máquinas virtuais isoladas e reforçadas no nível hardware, que rodam no dispositivo para proteger os usuários sem impactar a produtividade deles. Também captura rastros detalhados de tentativas de infecção. A tecnologia de isolamento de aplicações reduz ameaças que possam passar batido por outras ferramentas de segurança e fornece dados exclusivos sobre técnicas de intrusão e comportamento de agentes de ameaças.