Egyre gyakoribb az AI és a deepfake a támadásokban

2024. július 10. 18:11 - Csizmazia Darab István [Rambo]

Az ESET legutóbbi kiberfenyegetettségi jelentése tavaly decembertől 2024. májusáig terjedő időszak trendjeit elemzi, eszerint az adatlopó kártevők (infostealers) olyan generatív AI-eszközöket is elkezdtek aktívan használni, mint a Midjourney, a Sora vagy a Google Gemini.

2024. első felében dinamikusan terjedtek az Android rendszereket érintő pénzügyi fenyegetések, valamint a mobilbankoláshoz kapcsolódó kártékony programok, legyen szó "hagyományos" rosszindulatú banki szoftverekről vagy éppen kriptolopásokról.

A Rilide Stealer olyan generatív AI-asszisztensek nevével élt vissza, mint az OpenAI Sora és a Google Gemini. A Vidar adattolvaj szoftver pedig a Midjourney mesterséges intelligencia-képgenerátor Windowsos asztali alkalmazásának adta ki magát - annak ellenére, hogy a Midjourney AI-modellje csak a Discordon keresztül érhető el.

A kiberbűnözők már 2023. óta egyre inkább visszaélnek a mesterséges intelligenciával - és ez a tendencia várhatóan folytatódni fog. A magyarországi viszonyok között a korábban megszokott gyenge helyesírással rendelkező átverések mellett egyre gyakrabban érkeznek az AI segítségével generált néha jobb, néha gyengébb minőségű szövegek.

Illetve megjelentek már a magyar hírességek nevével visszaélő generált fotós és deepfake videós csalások is, legutóbb például Esztergályos Cecília nevében durva helyesírási hibákkal hirdettek egy átverős videóval.

A beszámolóban szó esik még arról is, hogy az új, mobilokat veszélyeztető GoldPickaxe kártevő képes arcfelismeréssel kapcsolatos adatokat lopni. Ezek segítségével aztán megtévesztő deepfake videókat hoz létre, amelyeket a rosszindulatú szoftver működtetői pénzügyi tranzakciók hitelesítésére használnak. A GoldPickaxe Android és iOS verzióval is rendelkezik, és kártékony alkalmazásokon keresztül vesz célba délkelet-ázsiai áldozatokat.

A deepfake támadásokkal a Hackfelmetszők - Veled is megtörténhet! podcast legújabb 20. adása is foglalkozik. Ebben többek közt szó esik Taylor Swift deepfake videóiról, csaló videókkal történő politikai nyomásgyakorlásról vagy épp barátoktól átveréssel kicsalt összegekről is.

Folytatódtak a gamerek elleni támadások is, melynek során a hivatalos játékplatformokat megkerülő játékosokat is megtámadták. Kiderült például, hogy néhány feltört videójáték és az online többszereplős játékokban használt csaló (cheat) eszközök olyan adatlopó kártevőket tartalmaznak, mint például a Lumma Stealer és a RedLine Stealer.

A kutatók mérése 2024. első félévében már többször észlelte a RedLine Stealert, spanyolországi, japán és németországi támadások során. A legutóbbi Redline támadáshullámok egyre erősödnek, 2024. első félévében már 30%-kal több ilyen próbálkozás történt.

A WordPress bővítmények sebezhetőségének kihasználása sajnos nagyon gyakori, a jól ismert Balada Injector csoport 2024 első felében is folytatta tevékenységét, amivel több mint 20 ezer weboldalt veszélyeztetett, a telemetria pedig több mint 400 ezer alkalommal jelezte a csoport legutóbbi akciójában használt újabb variánsok megjelenését.

A zsarolóprogramok terén a korábbi vezető szereplőt, a LockBitet a Chronos-művelet, vagyis a bűnüldöző szervek által 2024. februárjában végrehajtott globális akció időlegesen letaszította a trónról. Bár a kutatók két figyelemre méltó LockBit kampányt is észleltek 2024. első félévében, ezekről kiderült, hogy olyan, nem a LockBithez tartozó csoportok támadásai voltak, amelyek a kiszivárogtatott LockBit-segédprogram kódját használták.

A jelentés emellett beszámol arról a nemrégiben közzétett mélyreható vizsgálatról is, amely a legfejlettebb, és továbbra is terjedő szerveroldali kártevő kampányról, vagyis az Ebury csoportról és az általuk használt rosszindulatú szoftverekről és botnetekről szól.

Az évek során az Ebury-t hátsó ajtó programként alkalmazták, amellyel közel 400 000 Linux, FreeBSD és OpenBSD szervert támadtak meg, melyek közül 100 ezer még mindig kompromittálva volt 2023. végén, és a megfigyelések szerint a kártevő azóta is aktívan terjed.