Slopoly: KI-generierte Malware klaut tagelang unentdeckt Daten
Ein neuer Schadcode namens "Slopoly" schlummerte mehr als eine Woche unbemerkt auf einem kompromittierten Server und stahl Daten. Sicherheitsforscher gehen davon aus, dass die Malware mithilfe generativer KI entwickelt wurde.
Bei der Analyse des Codes stießen die Forscher auf mehrere Hinweise darauf, dass ein großes Sprachmodell (LLM) bei der Erstellung des Programms geholfen haben könnte. Dazu zählen ungewöhnlich umfangreiche Kommentare im Quellcode, strukturierte Protokollierung, Fehlerbehandlung sowie klar benannte Variablen. Solche Eigenschaften sind laut IBM bei von Menschen geschriebenem Schadcode eher selten. Welches KI-System konkret genutzt wurde, ließ sich allerdings nicht feststellen.
Trotz der möglichen KI-Unterstützung beschreiben die Experten Slopoly als technisch relativ einfach. Das Skript sammelt unter anderem Systeminformationen, sendet regelmäßig Statusmeldungen an den Kontrollserver und fragt dort in festen Abständen nach neuen Befehlen. Diese können anschließend über die Windows-Konsole ausgeführt werden, wobei die Ergebnisse wieder an die Angreifer zurückgeschickt werden. Zudem sorgt die Malware über eine geplante Aufgabe namens "Runtime Broker" dafür, dass sie nach einem Neustart des Systems aktiv bleibt.
Den Angriff ordnen die Forscher einer finanziell motivierten Gruppe zu, die sie unter der Bezeichnung Hive0163 verfolgen. Ziel der Gruppe sei in erster Linie die Erpressung von Unternehmen durch massenhaften Datendiebstahl und anschließende Erpressung. Neben Slopoly setzten die Angreifer auch weitere Backdoors wie NodeSnake und InterlockRAT ein.
Die Interlock-Ransomware tauchte erstmals 2024 auf. In der Vergangenheit reklamierten die Täter unter anderem Angriffe auf Organisationen wie das Texas Tech University System, den Gesundheitsdienstleister DaVita oder die Stadt Saint Paul im US-Bundesstaat Minnesota für sich. Nach Einschätzung der IBM-Experten zeigt der Vorfall vor allem eines: KI-Werkzeuge könnten zunehmend genutzt werden, um schneller neue Varianten von Schadsoftware zu erstellen und so Sicherheitsmechanismen zu umgehen.
Siehe auch:
Bestandteil einer Erpresser-Kampagne
Wie Experten der Sicherheitsabteilung IBM X-Force berichten, kam die Schadsoftware bei einer Attacke mit der Ransomware Interlock zum Einsatz. Die Angreifer verschafften sich zunächst über eine Social-Engineering-Masche namens ClickFix Zugang zum System. In einer späteren Phase des Angriffs installierten sie dann die Slopoly-Backdoor, die als PowerShell-Skript fungiert und mit der Kommando-und-Kontroll-Infrastruktur der Täter kommuniziert.Bei der Analyse des Codes stießen die Forscher auf mehrere Hinweise darauf, dass ein großes Sprachmodell (LLM) bei der Erstellung des Programms geholfen haben könnte. Dazu zählen ungewöhnlich umfangreiche Kommentare im Quellcode, strukturierte Protokollierung, Fehlerbehandlung sowie klar benannte Variablen. Solche Eigenschaften sind laut IBM bei von Menschen geschriebenem Schadcode eher selten. Welches KI-System konkret genutzt wurde, ließ sich allerdings nicht feststellen.
Trotz der möglichen KI-Unterstützung beschreiben die Experten Slopoly als technisch relativ einfach. Das Skript sammelt unter anderem Systeminformationen, sendet regelmäßig Statusmeldungen an den Kontrollserver und fragt dort in festen Abständen nach neuen Befehlen. Diese können anschließend über die Windows-Konsole ausgeführt werden, wobei die Ergebnisse wieder an die Angreifer zurückgeschickt werden. Zudem sorgt die Malware über eine geplante Aufgabe namens "Runtime Broker" dafür, dass sie nach einem Neustart des Systems aktiv bleibt.
Schon länger aktiv
Zu den unterstützten Befehlen gehört unter anderem das Herunterladen und Ausführen weiterer Schadprogramme, das Starten von Shell-Kommandos oder das Aktualisieren der eigenen Software. Die Malware legt ihre Dateien in einem Windows-Systemordner ab und führt ein Protokoll über ihre Aktivitäten.Den Angriff ordnen die Forscher einer finanziell motivierten Gruppe zu, die sie unter der Bezeichnung Hive0163 verfolgen. Ziel der Gruppe sei in erster Linie die Erpressung von Unternehmen durch massenhaften Datendiebstahl und anschließende Erpressung. Neben Slopoly setzten die Angreifer auch weitere Backdoors wie NodeSnake und InterlockRAT ein.
Die Interlock-Ransomware tauchte erstmals 2024 auf. In der Vergangenheit reklamierten die Täter unter anderem Angriffe auf Organisationen wie das Texas Tech University System, den Gesundheitsdienstleister DaVita oder die Stadt Saint Paul im US-Bundesstaat Minnesota für sich. Nach Einschätzung der IBM-Experten zeigt der Vorfall vor allem eines: KI-Werkzeuge könnten zunehmend genutzt werden, um schneller neue Varianten von Schadsoftware zu erstellen und so Sicherheitsmechanismen zu umgehen.
Zusammenfassung
- Malware namens Slopoly blieb über eine Woche unentdeckt auf einem Server
- IBM X-Force vermutet, dass generative KI bei der Entwicklung half
- Zugang zum System erfolgte über die Social-Engineering-Methode ClickFix
- Slopoly fungiert als PowerShell-Skript und kommuniziert mit Kontrollservern
- Ungewöhnlich viele Kommentare im Code deuten auf ein Sprachmodell hin
- Die Hackergruppe Hive0163 erpresst Unternehmen durch Datendiebstahl
- Interlock-Ransomware tauchte erstmals im Jahr 2024 auf und griff breit an
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen