Na vzostupe sú falošné AI nástroje a útoky na firmy.

Výskumníci vydali správu o kybernetickej bezpečnosti, ktorá mapuje digitálne hrozby za obdobie od decembra 2023 do mája 2024. Najrozšírenejšou hrozbou na Slovensku zostáva phishing. Telemetria zaznamenala významný nárast downloaderu, ktorý sa šíri cez e-maily a obsahuje prílohy s PowerShell skriptami následne sťahujúcimi ďalší malvér.

Stúpajúci trend predstavujú škodlivé aplikácie, ktoré sa vydávajú za nástroje umelej inteligencie. Výskumníci vydali správu o kybernetickej bezpečnosti, ktorá zmapovala digitálne hrozby zachytené bezpečnostnými riešeniami v období od decembra 2023 do mája 2024. Celkový počet hrozieb na Slovensku zostal v porovnaní s predošlým polrokom prakticky nezmenený. Detekciám aj naďalej dominujú phishingové podvody.

Medzi najrozšírenejšie nástrahy patria aj webové stránky infikované JavaScript kódom. Znepokojivý trend predstavuje prudký nárast downloaderov s PowerShell skriptami aj zneužívanie AI tematiky. Podľa údajov z detekčných systémov predstavoval v analyzovanom období najrozšírenejšiu hrozbu na Slovensku phishingový podvod HTML/Phishing.Agent trojan. Táto detekcia predstavovala viac ako 18% zo všetkých zachytených hrozieb.

Ide o škodlivú HTML prílohu imitujúcu prihlasovacie okná do populárnych služieb, ktorá sa bežne šíri prostredníctvom e-mailov s cieľom získať od obetí citlivé údaje. Na druhú priečku poskočila z tretieho miesta hrozba s názvom JS/Agent trojan, ktorej patrí na Slovensku takmer 11% zo všetkých detekcií. JS/Agent trojan je škodlivý JavaScript kód, ktorý dokáže kompromitovať zle zabezpečené, no legitímne webstránky.

Ide často o stránky postavené na publikačnom nástroji WordPress, ktoré využívajú pluginy s bezpečnostnými zraniteľnosťami. Napadnuté stránky sú nebezpečné v tom, že dokážu infikovať zariadenia návštevníkov bez toho, aby z nich čokoľvek stiahli. Najlepšou ochranou pred infikovanými webmi je používanie spoľahlivého bezpečnostného softvéru, ktorý ich zablokuje.

Dramatický nárast zaznamenali v prípade detekcie s názvom PowerShell/TrojanDownloader.Agent trojan. Kým v predošlom polroku obsadila s 1% detekcií 11. miesto, aktuálne predstavuje na Slovensku tretiu najpočetnejšiu hrozbu, ktorej pripadá viac ako 7% všetkých detekcií. Ide o škodlivý softvér, ktorý využíva PowerShell skripty na sťahovanie a inštaláciu ďalšieho malvéru do počítača.

Výskumníci zaznamenali na Slovensku masové šírenie tohto downloaderu prostredníctvom e-mailov s .bat prílohou. Text jedného zo zachytených e-mailov nasvedčuje, že útočníci sa zamerali na firmy či podnikateľov: „Ahoj, v prílohe nájdete našu novú objednávku. Zašlite nám prosím proforma faktúru na platbu. S pozdravom / Best regards.“

Aktuálnym trendom vo svete, ale aj na Slovensku, je zneužívanie napodobenín generatívnych nástrojov umelej inteligencie na škodlivé účely. Príkladom je 133% nárast infostealeru Rilide Stealer zameriavajúceho sa na krádež prihlasovacích údajov. Infostealer operuje ako rozšírenie prehliadača, ktoré si obeť nainštaluje po kliknutí na Facebook reklamu propagujúcu falošnú službu generatívnej AI.

Keďže v online priestore môžu používatelia natrafiť na množstvo škodlivých imitácií AI nástrojov, odporúčame k nim pristupovať len prostredníctvom oficiálnych kanálov daných služieb. Threat Report analyzoval svetové trendy v oblasti kybernetickej bezpečnosti. Okrem falošných nástrojov generatívnej AI sa správa pozrela aj na ďalšiu temnú stránku umelej inteligencie.

Výskumníci zaznamenali nový mobilný malvér GoldPickaxe, ktorý dokáže kradnúť údaje z rozpoznávania tváre a vytvárať z nich deepfake videá. Tie útočníci stojaci za malvérom používajú na overovanie podvodných finančných transakcií. GoldPickaxe má verzie pre Android aj iOS a prostredníctvom lokalizovaných škodlivých aplikácií sa zameriava na obete v juhovýchodnej Ázii.

Keď výskumníci skúmali túto rodinu škodlivého softvéru, zistili, že starší Android súrodenec GoldPickaxe s názvom GoldDiggerPlus sa dostal aj do Latinskej Ameriky a Južnej Afriky, pričom sa aktívne zameriava na obete v týchto regiónoch. Obeťou kyberútočníkov sa stali aj herní nadšenci, ktorí sa rozhodli vydať mimo oficiálneho ekosystému herných vývojárov. Niektoré cracknuté hry a nástroje na cheatovanie používané v online multiplayer hrách skrývali malvér.

Napríklad infostealer RedLine Stealer zaznamenal v telemetrii niekoľko prudkých nárastov, ktoré boli spôsobené kampaňami v Španielsku, Japonsku a Nemecku. Jeho posledné vlny boli také výrazné, že počet detekcií RedLine Stealer počas sledovaného polroka prekonal počet detekcií z predchádzajúceho obdobia o tretinu. Skupina útočníkov Balada Injector, notoricky známa zneužívaním zraniteľností WordPress pluginov, pokračovala vo svojom vyčíňaní.

Kompromitovala viac ako 20-tisíc webstránok a v telemetrii zaznamenali viac ako 400-tisíc detekcií. Na ransomvérovej scéne bol Lockbit zosadený z piedestálu globálnou operáciou Chronos, ktorú uskutočnili orgány činné v trestnom konaní vo februári 2024. Hoci telemetria zaznamenala v prvej polovici roka 2024 dve pozoruhodné kampane LockBit, zistilo sa, že boli výsledkom použitia uniknutého LockBit buildera útočníkmi, ktorí neboli členmi gangu.