HP ha pubblicato il Threat Insights Report, evidenziando come gli attori delle minacce utilizzino kit di malware e GenAI per migliorare l’efficienza degli attacchi.
Tali strumenti stanno riducendo il tempo e le competenze necessarie per creare componenti di attacco, consentendo agli aggressori di concentrarsi sulla sperimentazione di tecniche per aggirare il rilevamento e indurre le vittime a infettare i loro endpoint, come l’incorporazione di codice dannoso all’interno delle immagini.
Il report fornisce un’analisi degli attacchi informatici nel mondo reale, aiutando le organizzazioni a stare al passo con le ultime tecniche che i criminali informatici utilizzano per eludere il rilevamento e violare i PC.
Le principali evidenze
I ricercatori HP hanno osservato evolute campagne che diffondono malware VIP Keylogger e 0bj3ctivityStealer che sfruttano le stesse tecniche, un particolare che suggerisce l’uso di kit malware per fornire payload diversi. In entrambe le campagne, gli aggressori hanno nascosto lo stesso codice dannoso nelle immagini su siti Web di file hosting come archive.org, oltre a utilizzare lo stesso loader per installare il payload finale.
I ricercatori hanno anche identificato una campagna di trojan di accesso remoto (RAT) XWorm che conteneva codice dannoso che scarica ed esegue il malware. In particolare, in modo simile a una campagna AsyncRAT analizzata nel trimestre precedente, il loader incorporava segni distintivi che indicano che potrebbe essere stato scritto con l’aiuto di GenAI.
Gli aggressori sono inoltre attivi nella compromissione degli strumenti di cheat dei videogiochi e dei repository di modifica ospitati su GitHub, aggiungendo file eseguibili contenenti il malware Lumma Stealer. Questo infostealer ruba le password delle vittime, i portafogli crittografici e le informazioni del browser. (Gli utenti disattivano spesso gli strumenti di sicurezza per scaricare e utilizzare i cheat, esponendoli a un rischio maggiore di infezione senza la tecnologia di isolamento in atto).
Kit malware e GenAI
Il rapporto, che esamina i dati del calendario Q3 2024, descrive in dettaglio come i criminali informatici continuino a diversificare i metodi di attacco per aggirare gli strumenti di sicurezza che si basano sul rilevamento, come ad esempio:
• Almeno l’11% delle minacce e-mail identificate da HP Sure Click ha evitato uno o più scanner di gateway e-mail.
• Gli eseguibili sono stati il tipo di distribuzione di malware più popolare (40%), seguiti dai file di archivio (34%).
• C’è stato un notevole aumento dei file .lzh, che costituivano l’11% dei file di archivio analizzati, con la maggior parte dei file di archivio .lzh dannosi che prendono di mira gli utenti di lingua giapponese.
