Cybercrime: KI-generierte Malware in freier Wildbahn gesichtet
Sicherheitsexperten von HP weisen auf einen beunruhigenden Trend hin: Kriminelle nutzen verstärkt generative KI zur Entwicklung von Malware.
(Bild: Balefire / Shutterstock.com)
- Kathrin Stoll
Die September-Ausgabe des Threat Insights Report von HP Wolf Security zeigt, dass Cyberschurken zunehmend generative KI nutzen, um Schadsoftware zu entwickeln. Bisher war die Möglichkeit, Malware mithilfe generativer KI zu entwickeln, vor allem im Rahmen von Forschungsprojekten aufgezeigt worden. Kriminelle hatten ChatGPT und Co. bis dato vor allem zur Erstellung von Phishing-Kampagnen genutzt.
Im Bericht beziehen sich die Verfasser auf den Anhang einer E-Mail, die von der Sicherheitslösung HP Sure Click isoliert worden war. Der Anhang, der als Rechnung getarnt war, entpuppte sich als HTML-Datei, die beim Öffnen im Browser nach einem Passwort verlangte. Der E-Mail-Text lag den Report-Verfassern nicht vor, enthielt aber wohl das abgefragte Passwort.
Die erste Analyse des Codes ergab, dass damit wohl HTML-Code-Schmuggel versucht, also Schadcode mit dem Anhang eingeschleust werden sollte. Im Unterschied zu den meisten anderen Angriffen dieser Art, war der schadhafte Payload der HTML-Datei jedoch nicht innerhalb eines Archivs verschlüsselt, sondern im Code selbst AES-verschlüsselt und fehlerfrei implementiert worden.
Um das Archiv zu entschlüsseln, mussten die Sicherheitsexperten zunächst das Passwort knacken. Das entschlüsselte .zip-Archiv enthielt eine Visual Basic Script-Datei, die verschiedene Prozesse auf dem Rechner in Gang setzt und den Remote Access Trojaner AsyncRAT auf dem System installiert. Async-RAT ist eine Open Source Malware, die es einem Angreifer erlaubt, einen Rechner aus der Ferne zu übernehmen, sobald er sie auf dem System eingeschleust hat.
KI senkt Einstiegshürden für Cybercrime-Novizen
Zur Entwicklung der Infektionskette, die zur Installation des Trojaners hätte führen können, haben die Kriminellen offenbar generative KI eingesetzt. Bei der Analyse des Codes entdeckten die HP-Sicherheitsforscher recht eindeutige Hinweise darauf: Jede einzelne Funktion war mit Kommentaren versehen und auch die Variablennamen deuteten darauf hin, dass die Programme von einer KI verfasst worden waren.
Patrick Schläpfer, einer der Sicherheitsforscher am HP Security Lab kommentierte laut CNBC, dass derartige Einsatzmöglichkeiten generativer KI die Einstiegshürden in die Cyberkriminalität senkten und es Neulingen ohne Programmierkenntnissen erlaubten, gefährlichere Angriffe durchzuführen.
KI-generierte Malware ist jedoch nicht der einzige hervorhebenswerte Punkt aus dem Bericht. Auch sogenannte ChromeLoader-Kampagnen werden demnach immer raffinierter. Mittels Malvertising werden Internetnutzer auf gut gemachte Webseiten gelockt, wo angebliche PDF-Tools zum Download angeboten werden, in denen sich gut getarnte Malware versteckt.
(kst)
