Cyberkriminelle nutzen zunehmend große Sprachmodelle, um schädlichen Code zu generieren, der über Phishing-E-Mails verbreitet wird und verschiedene Schadsoftware wie Rhadamanthys, NetSupport, CleanUpLoader, ModiLoader, LokiBot und Dunihi herunterlädt.
Diese Entwicklung zeigt eine besorgniserregende Tendenz, dass Bedrohungsakteure Künstliche Intelligenz (KI) zur Automatisierung der Malware-Erstellung und -Verbreitung einsetzen, was erhebliche Herausforderungen für die Cybersicherheitsabwehr darstellt.
Eine breit angelegte Cyberangriffskampagne nutzt Phishing-E-Mails, die passwortgeschützte ZIP-Archive enthalten. Diese Archive beherbergen bösartige LNK-Dateien, die beim Ausführen PowerShell-Skripte herunterladen, die von großen Sprachmodellen (LLMs) generiert wurden.
Diese Skripte erleichtern die Bereitstellung von Malware in verschiedenen Sektoren, indem sie Dringlichkeit-basierte Social-Engineering-Taktiken ausnutzen und Malware in scheinbar legitimen Dokumenten verstecken.
Automatisierte Skriptgenerierung durch ChatGPT
Eine ZIP-Datei mit einer LNK-Datei wurde entdeckt, die ein PowerShell-Skript ausführt, das wahrscheinlich von einem LLM generiert wurde, wie die gut formatierte Codierung und die beschreibenden Kommentare zeigen.
Forschungen mit ChatGPT replizierten dies und zeigten, wie einfach es ist, Skripte automatisch zu generieren.
Zu den Endnutzlasten der Kampagne gehörten die informationsstehlende Rhadamanthys-Malware und der CleanUpLoader-Backdoor, was auf einen ausgeklügelten Bedrohungsakteur hinweist, der KI zur Automatisierung bösartiger Aktivitäten nutzt.
Vorgehensweise des Angriffs
Der Angriff beginnt mit dem Versenden einer täuschenden Phishing-E-Mail, die als HR-Benachrichtigung getarnt ist.
Die E-Mail enthält einen bösartigen Anhang, der den Empfänger dazu verleiten soll, ihn zu öffnen, was die initiale Zugriffsphase des Angriffs darstellt und eine potenzielle Basis für weitere bösartige Aktivitäten schafft.
Der Angreifer nutzt verschiedene Social-Engineering-Taktiken, wie das Erzeugen eines Dringlichkeitsgefühls oder das Imitieren des Empfängers, um die Wahrscheinlichkeit zu erhöhen, dass der Empfänger mit der E-Mail interagiert.
Einsatz von LLM-generiertem HTML-Code
Das Öffnen des bösartigen Anhangs löst die Ausführung einer LLM-generierten HTML-Datei aus, die eingebettetes JavaScript enthält und als initialer Infektionsvektor fungiert, um weitere bösartige Nutzlasten abzurufen und auszuführen.
Trotz der Darstellung einer scheinbar einfachen Webseite zeigt der zugrunde liegende HTML-Code deutliche Merkmale einer LLM-generierten Erstellung, was auf eine automatisierte Erstellung mit minimalem menschlichen Eingriff hinweist. Dies unterstreicht das Potenzial von LLMs, die schnelle und großflächige Produktion von bösartigen Inhalten erheblich zu erleichtern.
Verbreitung von Malware
Sie nutzen LLMs zur Generierung von HTML-Code für Phishing-Kampagnen, die unbemerkt die Dunihi (H-Worm)-Malware herunterlädt.
Benutzer setzen ihre Systeme unwissentlich dieser Bedrohung aus, ohne explizite Browser-Download-Berechtigungen.
Die Vielseitigkeit der Kampagne zeigt sich in ihrer Fähigkeit, mehrere Nutzlasten zu liefern, darunter ModiLoader, LokiBot und NetSupport RAT, was die sich ständig weiterentwickelnden Taktiken der Cyberkriminellen unterstreicht.
Bedeutung für die Cybersicherheit
KI demokratisiert die Cyberkriminalität schnell und befähigt Gegner mit Werkzeugen, um ausgeklügelte Phishing-Angriffe zu erstellen und bösartigen Code zu generieren, der zuvor fortgeschrittene Expertise erforderte.
Laut Symantec wird sich das Bedrohungsumfeld mit den fortschreitenden KI-Fähigkeiten weiterentwickeln, mit stärkeren, skalierbareren und ausweichfähigeren Angriffen, die robuste Gegenmaßnahmen erfordern, um Risiken zu mindern.
Dies unterstreicht die Notwendigkeit, die Cybersicherheitsstrategien ständig zu aktualisieren und an die sich entwickelnden Bedrohungen anzupassen.