Bedrohungsakteure verwenden bereits seit einiger Zeit generative künstliche Intelligenz (GenAI), um überzeugende Phishing-Köder zu erstellen. Jetzt ist dem HP Threat Research-Team eine Malware ins Netz gegangen, bei der die Skripte von GenAI produziert wurden.
Es gibt nur wenige Hinweise darauf, dass Angreifer generative KI verwenden, um in freier Wildbahn Schadcode zu schreiben. Im zweiten Quartal identifizierte das HP Threat Research-Team jedoch eine Malware-Kampagne, die AsyncRAT mithilfe von VBScript und JavaScript verbreitete und höchstwahrscheinlich mit Hilfe von GenAI geschrieben wurde. Die Struktur, Kommentare und Wahl der Funktionsnamen und Variablen der Skripte waren starke Hinweise darauf, dass der Bedrohungsakteur GenAI zum Erstellen der Malware verwendet hat. Die Aktivität zeigt, wie generative KI Angriffe beschleunigt und die Hürde für Cyberkriminelle senkt, Endpunkte zu infizieren.
Generative KI entwirft die gefährlichen Skripte
Anfang Juni isolierte HP Sure Click einen ungewöhnlichen französischen E-Mail-Anhang, der sich als Rechnung ausgab. Der Anhang ist lediglich eine HTML-Datei, die beim Öffnen im Browser nach einem Passwort fragt. Eine erste Analyse des Codes ergab, dass es sich um eine HTML-Schmuggel-Bedrohung handelt. Im Gegensatz zu den meisten anderen Bedrohungen dieser Art wurde die in der HTML-Datei gespeicherte Nutzlast jedoch nicht in einem Archiv verschlüsselt. Vielmehr wurde die Datei im JavaScript-Code selbst verschlüsselt. Das entschlüsselte Archiv enthält eine VBScript-Datei. Beim Ausführen wird die Infektionskette gestartet und schließlich AsyncRAT, ein Remote Access Trojan (RAT), eingesetzt.
Interessanterweise stellten wir bei der Analyse des VBScripts und des JavaScripts überrascht fest, dass der Code nicht verschleiert war. Tatsächlich hatte der Angreifer im gesamten Code Kommentare hinterlassen, die beschreiben, was jede Zeile bewirkt. Echte Codekommentare in Malware sind selten, da Angreifer ihre Malware so schwer verständlich wie möglich gestalten möchten. Aufgrund der Struktur der Skripte, konsistenter Kommentare für jede Funktion und der Wahl der Funktionsnamen und Variablen ist es sehr wahrscheinlich, dass der Angreifer generative KI zur Entwicklung dieser Skripte verwendet hat. Die Aktivität zeigt, wie GenAI Angriffe beschleunigt und es Cyberkriminellen erleichtert, Endpunkte zu infizieren.
Mehr bei HP.com
Über HP Wolf Security
HP Wolf Security ist eine neue Art der Endgerätesicherheit. HPs Portfolio an hardwaregestützter Sicherheit und endgeräteorientierten Sicherheitsdiensten soll Unternehmen dabei helfen, PCs, Drucker und Personen vor Cyberkriminellen zu schützen. HP Wolf Security bietet umfassenden Endgeräteschutz und Ausfallsicherheit, die auf Hardwareebene beginnt und sich über Software und Dienste erstreckt.