Siber suçlular zararlı yazılım üretmek için yapay zekayı kullanıyor

Son rapor, zararlı yazılım komut dosyaları oluştururken yapay zeka kullanımına, sahte PDF araçlarını yaymak için kötü amaçlı reklamlara güvenen tehdit aktörlerine ve görüntü dosyalarına gömülü zararlı yazılımlara işaret ediyor.

HP Imagine’da, saldırganların zararlı kod yazmaya yardımcı olmak için üretken yapay zekayı nasıl kullandıklarını ortaya koyan en son Tehdit Öngörüleri Raporunu yayınladı. HP’nin tehdit araştırma ekibi, profesyonel görünümlü sahte PDF araçlarına yol açan kötü amaçlı reklamlar yoluyla yayılan büyük ve rafine bir ChromeLoader saldırısı tespit etti ve SVG görüntülerine kötü amaçlı kod yerleştiren siber suçluları belirledi.

Rapor, gerçek dünyadaki siber saldırıların bir analizini sunarak, kurumların hızla değişen siber suç ortamında siber suçluların tespit edilmekten kurtulmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerine yardımcı oluyor.  HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen verilere dayanarak, HP tehdit araştırmacıları tarafından tespit edilen önemli saldırılar arasında şunlar yer alıyor:

• Üretken yapay zeka tüm ortamlarda zararlı yazılım geliştirmeye yardımcı oluyor: Siber suçlular ÜYZ’yı ikna edici kimlik avı tuzakları oluşturmak için zaten kullanıyorlar, ancak bugüne kadar tehdit aktörlerinin kod yazmak için ÜYZ araçlarını kullandığına dair sınırlı kanıt vardı. Ekip, ÜYZ yardımıyla yazıldığına inanılan VBScript ve JavaScript kullanarak Fransızca konuşanları hedef alan bir kampanya tespit etti. Komut dosyalarının yapısı, her kod satırını açıklayan yorumlar ve ana dildeki işlev adları ve değişkenlerin seçimi, tehdit aktörünün kötü amaçlı yazılımı oluşturmak için ÜYZ kullandığına dair güçlü göstergeler. Saldırı, kullanıcılara, kurbanın ekranlarını ve tuş vuruşlarını kaydedebilen, elde edilmesi kolay bir bilgi hırsızı olan ve ücretsiz olarak sunulan zararlı AsyncRAT yazılımını bulaştırıyor. Bu faaliyet, ÜYZ’nin siber suçluların uç noktalara bulaşması için çıtayı nasıl düşürdüğünü gösteriyor.
• Sahte ama işlevsel PDF araçlarına yönlendiren kurnazca hazırlanmış zararlı reklam kampanyaları: ChromeLoader saldırıları, kurbanları PDF okuyucular ve dönüştürücüler gibi işlevsel araçlar sunan iyi tasarlanmış web sitelerine yönlendirmek için popüler arama anahtar kelimeleri ve kötü amaçlı reklamlara güvenerek daha büyük ve daha ikna edici hale geliyor. Bu uygulamalar kötü amaçlı kodları bir MSI dosyasında gizlerken, geçerli kod imzalama sertifikaları Windows güvenlik politikalarını ve kullanıcı uyarılarını atlayarak bulaşma olasılığını artırıyor. Bu sahte uygulamaların yüklenmesi, saldırganların kurbanın tarayıcılarını ele geçirmesine ve aramaları saldırganların kontrolündeki sitelere yönlendirmesine olanak tanıyor.
• “Bu logo kullanılamaz” zararlı yazılımları Ölçeklenebilir Vektör Grafikleri (SVG) görüntülerinde gizliyor: Bazı siber suçlular, zararlı yazılımları gizlemek için HTML dosyalarından vektör görüntülerine geçerek eğilimi değiştiriyor. Grafik tasarımda yaygın olarak kullanılan vektör görüntüleri genellikle XML tabanlı SVG formatını kullanıyor. SVG’ler tarayıcılarda otomatik olarak açıldığından, gömülü JavaScript kodları resim görüntülendiğinde çalıştırılıyor. Kurbanlar bir resim görüntülediklerini düşünürken, birden fazla türde bilgi hırsızı zararlı yazılımın yüklenmesine yol açan karmaşık bir dosya formatıyla etkileşim kuruyorlar.

HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Patrick Schläpfer şu yorumu yapıyor: “Yapay zekanın saldırganlar tarafından kullanıldığına dair spekülasyonlar çok yaygın fakat kanıtlar yetersiz; bu nedenle bu bulgu çok önemli. Tipik olarak saldırganlar yöntemlerini ifşa etmemek için niyetlerini gizlemeyi seviyorlar, bu nedenle bu davranış, kodlarını yazmaya yardımcı olması için bir YZ asistanı kullanıldığını gösteriyor. Bu tür yetenekler, tehdit aktörleri için giriş engelini daha da azaltarak, kodlama becerisi olmayan acemilerin komut dosyaları yazmasına, bulaşma zincirleri geliştirmesine ve daha zarar verici saldırılar başlatmasına olanak tanıyor.”

HP Wolf Security, bilgisayarlardaki tespit araçlarından kaçan tehditleri izole ederek (ama bunu önce zararlı yazılımların güvenli bir şekilde devreye girmesine izin vererek yapıyor) siber suçlular tarafından kullanılan en son teknikler hakkında özel tespitler yakalayabiliyor. HP Wolf Security müşterileri bugüne kadar 40 milyardan fazla e-posta ekine, web sayfasına tıkladı ve hiçbir ihlal bildirilmeden dosya indirdi.

2024’ün 2. çeyreğindeki verileri inceleyen rapor, siber suçluların güvenlik politikalarını ve tespit araçlarını atlamak için saldırı yöntemlerini nasıl çeşitlendirmeye devam ettiklerini detaylandırıyor:

– HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az %12’si bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı, bu oran bir önceki çeyrekte de aynıydı.
– En önemli tehdit vektörleri e-posta ekleri (%61), tarayıcılardan indirmeler (%18) ve USB flash sürücüler ve dosya paylaşımları (%21) gibi çıkarılabilir depolama gibi diğer bulaşma vektörleriydi.
– Arşivler, %26’sı ZIP dosyaları olmak üzere en popüler zararlı yazılım dağıtım türü oldu (%39).
HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu değerlendirmede bulunuyor:  “Tehdit aktörleri, gerek saldırıları geliştirmek için yapay zeka kullanarak gerekse de tespitleri atlatmak için zararlı ama işlerine yarayan araçlar oluşturarak, yöntemlerini sürekli güncelliyor. Bu nedenle, kurumların mümkün olduğunca çok sayıda yaygın saldırı yolunu kapatarak esneklik oluşturması gerekiyor. E-posta eklerini açmak veya web indirmeleri gibi yüksek riskli etkinlikleri izole etmek de dahil olmak üzere derinlemesine bir savunma stratejisi benimsemek, saldırı yüzeyini en aza indirmeye ve bulaşma riskini etkisiz hale getirmeye yardımcı olur.”

HP Wolf Security, kullanıcıları verimliliklerini etkilemeden korumak için riskli görevleri uç noktada çalışan yalıtılmış, donanımla güçlendirilmiş sanal makinelerde çalıştırıyor. Ayrıca, bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatabilen tehditleri azaltıyor ve izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.