Van mobiele malware tot AI-misbruik: cyberdreigingen in het moderne tijdperk

Gepubliceerd op 27 juni 2024 om 15:00

In de afgelopen zes maanden heeft het cyberdreigingslandschap aanzienlijke veranderingen ondergaan, waarbij oude dreigingen nieuwe vormen aannamen en nieuwe soorten aanvallen opdoken. Dit rapport, gebaseerd op ESET's uitgebreide telemetrie en diepgaand onderzoek, werpt licht op de dynamische en continu evoluerende aard van cyberdreigingen die van december 2023 tot mei 2024 zijn waargenomen. Het benadrukt de behoefte aan robuuste cyberbeveiligingsstrategieën en continue waakzaamheid binnen digitale omgevingen.

De periode kenmerkte zich door diverse uitdagende trends, waaronder de opkomst van geavanceerde mobiele malware die financiële gegevens en gezichtsherkenningsdata van slachtoffers exploiteert, en de aanhoudende bedreiging van ransomware-aanvallen die ondanks internationale handhavingsinspanningen blijven evolueren. Belangrijk is de verschuiving waarbij cybercriminelen de groeiende interesse in generatieve AI hebben misbruikt om geïnfecteerde softwaretools te verspreiden die zich voordoen als legitieme AI-applicaties.

Deze ontwikkelingen benadrukken een kritieke behoefte aan aanhoudende investeringen in cyberbeveiliging en het belang van up-to-date kennis en voorbereiding op de steeds veranderende tactieken van cybercriminelen. Het doel van dit artikel is om licht te werpen op specifieke incidenten en trends die significante gevolgen hebben voor de veiligheid van zowel individuen als organisaties wereldwijd.

De opkomst van mobiele malware: GoldPickaxe en GoldDiggerPlus

In een tijd waarin mobiel bankieren en financiële apps steeds vaker worden gebruikt, zien we een evenredige toename in de complexiteit en verfijning van mobiele malware. Een van de meest opmerkelijke nieuwe bedreigingen is GoldPickaxe, een trojan die zowel op Android- als iOS-apparaten actief is. Deze malware steelt gezichtsherkenningdata van slachtoffers om deepfake-video's te creëren. Deze video's worden vervolgens gebruikt om frauduleuze financiële transacties te authenticeren, een tactiek die de ernst van de dreiging onderstreept en de geavanceerde capaciteiten van de aanvallers laat zien.

GoldPickaxe heeft niet alleen slachtoffers gemaakt in Zuidoost-Azië, maar de onderzoekers van ESET hebben ook ontdekt dat een oudere versie van deze malware, GoldDiggerPlus, zich een weg heeft gebaand naar Latijns-Amerika en Zuid-Afrika. Deze verspreiding benadrukt de doelgerichte aanpak van de cybercriminelen, die regionaal gelokaliseerde apps gebruiken om nietsvermoedende gebruikers te lokken. Dit soort gerichte aanvallen illustreert de behoefte aan een globaal bewustzijn en samenwerking in cyberbeveiliging om deze grensoverschrijdende cyberdreigingen effectief tegen te gaan.

Deze ontwikkelingen vormen een serieuze waarschuwing voor de beveiliging van mobiele apparaten, die vaak minder beveiligd zijn dan hun desktop-tegenhangers. Het benadrukt ook het belang van geavanceerde beveiligingsmaatregelen, zoals tweefactorauthenticatie en continue monitoring van app-toestemmingen en -activiteiten om dergelijke invasieve aanvallen te mitigeren.

Misbruik van AI en de ondermijning van gamingbeveiliging

De fascinatie voor kunstmatige intelligentie (AI) heeft een nieuw domein geopend voor cybercriminelen. Recent hebben we een toename gezien in malware die zich voordoet als generatieve AI-tools. Een opvallend voorbeeld hiervan is de Rilide Stealer, die de namen van bekende AI-assistenten zoals OpenAI’s Sora en Google's Gemini misbruikt om gebruikers te lokken. Een andere schadelijke campagne betreft de Vidar-infostealer, die zich verbergt achter een zogenaamde desktopapplicatie voor de AI-beeldgenerator Midjourney, terwijl het in werkelijkheid gaat om een venster naar datadiefstal.

Parallel aan de misbruik van AI, is er een significante toename van malware in de gamingsector. Cybercriminelen richten zich op gamingenthusiasten door geïnfecteerde gamebestanden en cheats aan te bieden op onofficiële platforms. Deze bestanden bevatten vaak infostealers, zoals de Lumma Stealer en RedLine Stealer, die persoonlijke informatie, wachtwoorden en creditcardgegevens van spelers kunnen stelen. De recente ontdekking dat zelfs gekraakte videogames en valsspeeltools gebruikt in online multiplayer-games deze malware bevatten, is een ernstige zorg voor zowel individuele gamers als de bredere gaminggemeenschap.

Deze trends benadrukken de noodzaak voor gamers om uiterst voorzichtig te zijn bij het downloaden van games en mods van niet-officiële bronnen. Evenzo toont het de noodzaak aan voor ouders om toezicht te houden op de gamingactiviteiten van hun kinderen, om te voorkomen dat jonge spelers het slachtoffer worden van deze kwaadaardige actoren.

WordPress-kwetsbaarheden en de veranderende dynamiek van ransomware

De voortdurende kwetsbaarheid van WordPress plug-ins blijft een prominente aanvalsvector voor cybercriminelen. De Balada Injector-bende heeft opnieuw de zwakheden in deze plug-ins benut, resulterend in meer dan 20.000 gecompromitteerde websites in de eerste helft van 2024. Deze aanvallen maken gebruik van geïnjecteerde kwaadaardige JavaScripts die niet alleen de websites zelf aantasten, maar ook de bezoekers van deze sites kunnen infecteren.

Aan de ransomware-front, heeft de eens zo dominante LockBit-bende aanzienlijke tegenslagen ondervonden. Na de internationale wetshandhavingsoperatie 'Operation Chronos' in februari 2024, waarbij belangrijke leden werden gearresteerd en kritieke infrastructuur werd ontmanteld, heeft deze groep moeite om op zijn oude niveau te opereren. Verdere complicaties voor LockBit en soortgelijke groepen omvatten de aanpassing van hun strategieën door gebruik te maken van het gelekte LockBit-bouwpakket, wat aangeeft dat de bedreigingen van ransomware zich blijven ontwikkelen en verspreiden, ondanks succesvolle wetshandhavingsinterventies.

Deze ontwikkelingen versterken het belang van continue beveiligingsupdates en de noodzaak voor webbeheerders en bedrijven om hun cyberverdediging voortdurend te versterken tegen een steeds evoluerend bedreigingslandschap. Het is cruciaal dat organisaties investeren in geavanceerde detectie- en responsoplossingen om deze soorten aanvallen proactief te identificeren en te mitigeren voordat ze aanzienlijke schade kunnen aanrichten.

Reflectie op de huidige staat van cyberdreigingen en de toekomst van cyberbeveiliging

De eerste helft van 2024 heeft een veelzijdig en dynamisch cyberdreigingslandschap onthuld, gekenmerkt door zowel de opkomst van nieuwe bedreigingen als de evolutie van bestaande. De voortdurende aanpassingen en innovaties van cybercriminelen eisen een even dynamische en proactieve benadering van cyberbeveiliging.

De toename van mobiele malware, het misbruik van AI-technologieën, en de voortdurende kwetsbaarheid van populaire platforms zoals WordPress, benadrukken de complexiteit van het huidige cyberveiligheidsdomein. Deze uitdagingen worden verder gecompliceerd door de vasthoudendheid van ransomware-bendes, ondanks significante disrupties door wereldwijde wetshandhavingsacties.

Het is duidelijk dat een multilaagse beveiligingsaanpak essentieel is, waarbij zowel technologie als menselijke expertise worden ingezet om een robuuste verdediging te bieden tegen een breed scala aan cyberdreigingen. Organisaties en individuen moeten voortdurend investeren in de nieuwste beveiligingsoplossingen, educatie en training, en samenwerken met wetshandhavingsinstanties en andere organisaties om informatie te delen en collectieve weerbaarheid te versterken.

Terwijl we vooruitkijken, is het duidelijk dat cyberbeveiliging een cruciale component zal blijven in de bescherming van digitale infrastructuur en persoonlijke data. Met de voortdurende evolutie van technologie en cyberaanvallen, zal het vermogen om snel te reageren en zich aan te passen aan nieuwe bedreigingen bepalend zijn voor de effectiviteit van cyberverdediging in de toekomst.

ESET Threat Report H 1 2024 Pdf
PDF – 6,6 MB 72 downloads

Begrippenlijst: Sleutelwoorden uitgelegd

  • Trojan:

    • Een type malware dat zich voordoet als legitieme software. Trojans kunnen worden gebruikt om verdere kwaadaardige handelingen uit te voeren, zoals het stelen van data of het installeren van meer malware.
  • Deepfake:

    • Een techniek voor het creëren van realistische audio- en video-opnames waarin bestaande beelden en geluiden worden gecombineerd en gemanipuleerd met kunstmatige intelligentie of deep learning-technologieën. In de context van cybersecurity wordt deze technologie soms gebruikt om frauduleuze activiteiten te ondersteunen.
  • Infostealers:

    • Malware-soorten die zijn ontworpen om persoonlijke informatie te verzamelen van de geïnfecteerde systemen, zoals wachtwoorden, financiële gegevens, e-mailadressen en meer.
  • Ransomware:

    • Een soort malware die de toegang tot bestanden of systemen blokkeert totdat een losgeld wordt betaald. Ransomware versleutelt vaak de gegevens van het slachtoffer, waardoor deze ontoegankelijk worden zonder een decryptiesleutel.
  • WordPress Plug-ins:

    • Add-ons voor WordPress-websites die extra functies of capaciteiten toevoegen. Kwetsbaarheden in deze plug-ins kunnen worden uitgebuit door hackers om websites te compromitteren.
  • Generatieve AI:

    • Kunstmatige intelligentie die is ontworpen om content te creëren, zoals tekst, afbeeldingen en video's, die nieuw en uniek is, vaak vanuit minimale inputdata.
  • Two-factor authenticatie (2FA):

    • Een beveiligingsmethode waarbij gebruikers twee verschillende authenticatiefactoren moeten leveren om toegang te krijgen tot een account of systeem, wat een extra laag van bescherming biedt tegen ongeautoriseerde toegang.
  • Telemetrie:

    • Het proces van het verzamelen van meetgegevens op afstand en het versturen naar een IT-systeem voor analyse. In cybersecurity, verwijst dit naar het verzamelen van gegevens over hoe software en systemen worden gebruikt en misbruikt.