HP Threat Insights Report

Im vierten Quartal 2024 stellten die Bedrohungsforscher von HP eine Zunahme von Social-Engineering-Kampagnen fest, die gefälschte CAPTCHA-Herausforderungen nutzen, um Benutzer mit Malware zu infizieren. Potenzielle Opfer werden auf von Angreifern kontrollierte Websites geleitet, wo sie aufgefordert werden, eine Reihe von Verifizierungsschritten auszuführen. Werden diese Schritte befolgt, werden die Benutzer dazu verleitet, bösartige PowerShell-Befehle über die Windows-Eingabeaufforderung auf ihren PCs auszuführen, was schließlich zu Malware-Infektionen mit Familien wie Lumma Stealer führt.

Im vierten Quartal entdeckte HP Sure Click-Angreifer, die bösartigen Code in Scalable Vector Graphic (SVG)-Bildern verbreiteten, um die Erkennung zu umgehen (T1027.009). Diese Bilder, die standardmäßig in Webbrowsern geöffnet werden, enthielten sieben Remote Access Trojaner (RATs) und Informationsdiebe, die den Angreifern Redundanz und Monetarisierungsmöglichkeiten boten.

Ein Teil der Infektionskette basierte auf verschleierten Python-Skripten zur Verbreitung der Malware (T1059.006). Die Popularität von Python, die durch das wachsende Interesse an künstlicher Intelligenz und Datenwissenschaft weiter zunimmt, bedeutet, dass diese Sprache für Angreifer immer attraktiver wird, um Malware zu schreiben, da ihr Interpreter weit verbreitet ist.

Schädliche PDF-Dokumente waren der dritthäufigste Dateityp, den HP Sure Click im vierten Quartal entdeckte. HP Sure Click identifizierte eine Malware-Kampagne mit VIP-Keyloggern, die auf Maschinenbauunternehmen im asiatisch-pazifischen Raum abzielte.5 Die Angreifer verschickten bösartige PDF-Dateien, die sich als Angebotsanfragen ausgaben, und richteten ihre Nachrichten an potenzielle Opferunternehmen auf der Grundlage der von ihnen verkauften Produkte, z. B. Automobil- und Industrieteile.

Mit der Analyse realer Cyber-Angriffe unterstützt der HP Threat Insights Report Unternehmen dabei, mit den neuesten Techniken Schritt zu halten, die Cyber-Kriminelle einsetzen, damit Malware nicht erkannt wird und so in PCs eindringt. Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, haben die HP Bedrohungsforscher unter anderem folgende Kampagnen identifiziert:

• CAPTCHA Me If You Can: Da Bots besser darin werden, CAPTCHAs zu umgehen, ist die Authentifizierung aufwendiger geworden. Anwender haben sich daher daran gewöhnt, sich häufiger beweisen zu müssen, dass sie Menschen sind. HP Threat Researcher identifizierten mehrere Kampagnen, bei denen Angreifer bösartige CAPTCHAs erstellten. Die Nutzer wurden auf von den Angreifern kontrollierte Websites geleitet und aufgefordert, eine Reihe von gefälschten Authentifizierungsanforderungen zu erfüllen. Schließlich wurden die Opfer dazu verleitet, einen bösartigen PowerShell-Befehl auf ihrem PC auszuführen, der den Lumma Stealer Remote Access Trojan (RAT) installierte.
• Angreifer greifen auf Webcams und Mikrofone von Anwendern zu, um ihre Opfer auszuspionieren: Bei einer weiteren Kampagne verbreiteten die Angreifer ein Open-Source-RAT, XenoRAT, mit fortschrittlichen Überwachungsfunktionen wie Mikrofon- und Webcam-Aufnahme. Mithilfe von Social-Engineering-Techniken überzeugten Cyber-Kriminelle Nutzer davon, Makros in Word- und Excel-Dokumenten zu aktivieren, um Geräte zu steuern, Daten zu exfiltrieren und Tastenanschläge zu protokollieren – was zeigt, dass Word und Excel immer noch ein Risiko für die Verbreitung von Malware darstellen.
• Python-Skripte für SVG-Schmuggel: Eine weitere Kampagne zeigt, wie Bedrohungsakteure bösartigen JavaScript-Code in SVG-Bilder (Scalable Vector Graphic) einschleusen, um die Erkennung zu umgehen. Diese Bilder werden standardmäßig in Webbrowsern geöffnet und führen den eingebetteten Code aus, um sieben Nutzlasten – darunter RATs und Infostealer – zu verteilen, die dem Angreifer Redundanz sowie Möglichkeiten zur Monetarisierung bieten. Als Teil der Infektionskette verwendeten sie auch verschleierte Python-Skripte, um die Malware zu installieren. Die Popularität von Python nimmt durch das steigende Interesse an KI und Data Science weiter zu. Dies bedeutet, dass diese Sprache für Angreifer dank des weit verbreiteten Interpreters zunehmend attraktiv ist, um Malware zu schreiben.

Patrick Schläpfer, Principal Threat Researcher im HP Security Lab, erklärt:

„Ein gemeinsamer Nenner dieser Kampagnen: Sie verwenden Verschleierungs- und Anti-Analyse-Techniken, um Untersuchungen zu verlangsamen. Selbst solche einfachen, aber wirksamen Techniken können die Erkennung und Reaktion von Sicherheitsteams verzögern – und so die Eindämmung einer Infektion erschweren. Durch Methoden wie das Verwenden direkter Systemaufrufe erschweren Angreifer das Aufzeichnen bösartiger Aktivitäten durch Security-Tools. Cyber-Kriminelle erhalten damit mehr Zeit, unentdeckt zu operieren und die Endgeräte der Opfer zu kompromittieren.“

Durch die Isolierung von Bedrohungen, die sich den Erkennungstools auf PCs entzogen haben, aber dennoch in sicheren Containern unschädlich gemacht wurden, verfügt HP Wolf Security über einen spezifischen Einblick in die neuesten Techniken von Cyber-Kriminellen. Bis heute haben Kunden von HP Wolf Security auf mehr als 65 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass ein Verstoß gemeldet wurde.

Der Bericht, der Daten aus dem 4. Quartal 2024 untersucht, zeigt auf, wie Cyber-Kriminelle ihre Angriffsmethoden weiter diversifizieren, um auf Erkennung angewiesene Security-Tools zu umgehen.

• Mindestens elf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
• Ausführbare Dateien waren der beliebteste Malware-Typ (43 Prozent), gefolgt von Archivdateien (32 Prozent).

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc., kommentiert:

„Die mehrstufige Authentifizierung ist jetzt die Norm. Dies erhöht unsere „Klick-Toleranz“. Die Analyse zeigt, dass Anwender mehrere Schritte entlang einer Infektionskette unternehmen, und unterstreicht dadurch die Unzulänglichkeiten von Schulungen zum Thema Cyber-Awareness. Unternehmen befinden sich in einem Wettbewerb mit Angreifern. Dieser wird durch KI noch beschleunigt. Um die zunehmend unvorhersehbaren Bedrohungen zu bekämpfen, sollten sich Unternehmen darauf konzentrieren, ihre Angriffsfläche zu reduzieren, indem sie risikoreiche Aktionen isolieren – beispielsweise das Anklicken von Dingen, die ihnen schaden könnten. Auf diese Weise müssen sie den nächsten Angriff nicht vorhersehen; sie sind bereits geschützt.“

Über die Daten

Diese Daten wurden von zustimmenden HP Wolf Security-Kunden von Oktober bis Dezember 2024 erhoben.

In the fourth quarter of 2024, HP threat researchers saw an increase in social engineering campaigns that use fake CAPTCHA challenges to infect users with malware. Potential victims are directed to attacker-controlled websites where they are asked to complete a series of verification steps. If these steps are followed, users are tricked into running malicious PowerShell commands on their PCs through the Windows command prompt, ultimately leading to malware infections with families such as Lumma Stealer.

In Q4, HP discovered that Sure Click attackers are spreading malicious code in Scalable Vector Graphic (SVG) images to avoid detection (T1027.009). These images opened by default in web browsers, contained seven Remote Access Trojans (RATs) and information stealers that provided attackers with redundancy and monetization opportunities.

Part of the infection chain relied on obfuscated Python scripts to spread the malware (T1059.006). The popularity of Python, which continues to grow due to the growing interest in artificial intelligence and data science, means that this language is becoming increasingly attractive to attackers for writing malware as its interpreter is widely available.

Malicious PDF documents were the third most common file type detected by HP Sure Click in the fourth quarter. HP Sure Click identified a VIP keylogger malware campaign targeting engineering firms in the Asia-Pacific region.

The attackers sent malicious PDF files posing as requests for proposals and targeted their messages to potential victim companies based on the products they sell, such as automotive and industrial parts.

By analyzing real-world cyberattacks, the HP Threat Insights Report helps organizations stay abreast of the latest techniques cybercriminals are using to prevent malware from being detected and infiltrating PCs. Based on data from millions of endpoints running HP Wolf Security, HP threat researchers have identified the following campaigns, among others: – CAPTCHA Me If You Can: As bots get better at evading CAPTCHAs, authentication has become more complex. As a result, users have become accustomed to having to prove they are human more often. HP Threat Researchers identified several campaigns where attackers created malicious CAPTCHAs. Users were directed to websites controlled by the attackers and asked to complete a series of bogus authentication requirements. Finally, victims were tricked into running a malicious PowerShell command on their PC, which installed the Lumma Stealer remote access Trojan (RAT).

– Attackers access users‘ webcams and microphones to spy on their victims: In another campaign, attackers distributed an open-source RAT, XenoRAT, with advanced surveillance capabilities such as microphone and webcam recording. Using social engineering techniques, cybercriminals convinced users to enable macros in Word and Excel documents to control devices, exfiltrate data, and log keystrokes – demonstrating that Word and Excel remain a risk for malware distribution.

– Python scripts for SVG smuggling: Another campaign shows how threat actors are injecting malicious JavaScript code into Scalable Vector Graphic (SVG) images to avoid detection.

These images open in web browsers by default and execute the embedded code to deliver seven payloads – including RATs and Infostealers – that provide redundancy and monetization opportunities for the attacker. As part of the infection chain, they also used obfuscated Python scripts to install the malware. Python’s popularity continues to grow due to the increasing interest in AI and data science. This means that this language is becoming more attractive to attackers for writing malware, thanks to its widely used interpreter.

Patrick Schläpfer, Principal Threat Researcher at HP Security Lab, explains:

“A common denominator of these campaigns: they use obfuscation and anti-analysis techniques to slow down investigations. Even such simple but effective techniques can delay detection and response by security teams – making it more difficult to contain an infection. By using methods such as direct system calls, attackers make it difficult for security tools to record malicious activity. This gives cyber criminals more time to operate undetected and compromise victims‘ endpoints.”

By isolating threats that have evaded detection tools on PCs but have nevertheless been rendered harmless in secure containers, HP Wolf Security has specific insight into the latest techniques used by cyber criminals. To date, HP Wolf Security customers have clicked on more than 65 billion email attachments, web pages and downloaded files without a breach being reported.

The report, which examines data from Q4 2024, shows how cyber criminals continue to diversify their attack methods to evade detection-dependent security tools.

– At least eleven percent of email threats identified by HP Sure Click bypassed one or more email gateway scanners.

– Executable files were the most popular malware type (43 percent), followed by archive files (32 percent).

Dr. Ian Pratt, Global Head of Security for Personal Systems at HP Inc. comments:

“Multi-factor authentication is now the norm. This increases our ‚click tolerance‘. The analysis shows that users are taking multiple steps along an infection chain, highlighting the shortcomings of cyber awareness training. Companies are in competition with attackers. This is being accelerated by AI. To combat the increasingly unpredictable threats, companies should focus on reducing their attack surface by isolating high-risk actions – for example, clicking on things that could harm them. That way, they don’t have to anticipate the next attack; they’re already protected.”

About the data

This data was collected from consenting HP Wolf Security customers from October through December 2024.