Noua amenințare pe Windows – LameHug, malware-ul care îți fură datele cu AI în timp real
Un nou tip de amenințare cibernetică, denumit LameHug, schimbă regulile jocului în securitatea IT. Acest malware folosește un model de inteligență artificială de tip Large Language Model (LLM) pentru a genera comenzi personalizate, executate direct pe sistemele Windows compromise. Descoperirea a fost făcută de CERT-UA, echipa națională ucraineană de răspuns la incidente cibernetice, care atribuie atacurile grupării ruse APT28 (cunoscută și ca Fancy Bear, Sednit sau Sofacy), scrie publicația Bleeping Computer. Cum funcționează LameHug și de ce este diferit de alte malware-uri Spre deosebire de amenințările clasice, LameHug este scris în Python și se bazează pe API-ul Hugging Face pentru a interacționa cu modelul Qwen 2.5-Coder-32B-Instruct, un LLM open-source dezvoltat de Alibaba Cloud. Modelul este optimizat pentru a genera cod, a interpreta descrieri în limbaj natural și a le transforma în comenzi executabile sau scripturi în diverse limbaje de programare. CERT-UA a descoperit malware-ul după ce, pe 10 iulie, a primit sesizări privind emailuri malițioase trimise de pe conturi compromise care imitau oficiali guvernamentali. Mesajele vizau distribuirea unui loader LameHug către instituții executive, sub forma unor atașamente ZIP cu fișiere precum Attachment.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe sau image.py. După infectare, LameHug trimitea prompturi către LLM, cerând generarea unor comenzi pentru: colectarea informațiilor despre sistem și salvarea lor în fișierul info.txt, căutarea recursivă a documentelor în directoarele-cheie Windows (Documents, Desktop, Downloads), exfiltrarea datelor prin protocoale SFTP sau HTTP POST. De ce LameHug reprezintă un nou nivel al atacurilor cibernetice Ceea ce face LameHug extrem de periculos este capacitatea sa de adaptare în timp real. În loc să folosească un set fix de comenzi, malware-ul generează dinamic instrucțiuni în funcție de răspunsurile LLM-ului, ceea ce îl ajută să evite detectarea de către soluțiile de securitate care caută pattern-uri cunoscute. Mai mult, folosirea infrastructurii Hugging Face pentru comunicarea cu modelul AI îi conferă atacului un nivel suplimentar de discreție, îngreunând identificarea traficului malițios. Practic, amenințarea deschide calea unui nou tip de paradigmă în atacurile cibernetice, unde actorii de tip APT pot modifica tactici fără a distribui payload-uri noi. CERT-UA nu a confirmat dacă comenzile generate au avut succes în furtul de date, însă experții avertizează că LameHug este primul malware documentat public care integrează suport LLM pentru a executa sarcini malițioase. Acest lucru ar putea marca începutul unei ere în care AI devine un instrument-cheie pentru grupările de hackeri sponsorizate de state.
Miliarde de date de autentificare furate, descoperite de Cybernews: Acces fără precedent pentru infractori la conturile consumatorilor
Cercetătorii de la publicația de securitate cibernetică Cybernews au descoperit miliarde de date de autentificare care au fost furate și compilate în pachete de date online, oferind infractorilor „acces fără precedent” la conturile pe care consumatorii le folosesc zilnic. Potrivit unui raport publicat săptămâna aceasta, cercetătorii Cybernews au descoperit recent 30 de seturi de date, fiecare cu o cantitate uriașă de informații – însumând un total de 16 miliarde de date de conectare compromise. Acestea includ parolele utilizatorilor pentru o serie de platforme populare. “Informațiile din seturile de date furate deschid ușile către aproape orice serviciu online imaginabil, de la Apple, Facebook și Google, la GitHub, Telegram și diverse servicii guvernamentale. Este greu să ratezi ceva atunci când 16 miliarde de înregistrări sunt pe masă”, afirmă autorii studiului. Imposibil de spus câte persoane sau conturi au fost expuse Șaisprezece miliarde reprezintă aproximativ dublul numărului de oameni de pe Pământ în prezent, ceea ce indică faptul că este posibil să fi fost furate datele de identificare ale consumatorilor pentru mai mult de un cont. Cybernews remarcă faptul că o parte a datelor sunt cu siguranță dublate și, prin urmare, „este imposibil de spus câte persoane sau conturi au fost de fapt expuse”. De asemenea, este important de remarcat faptul că informațiile de autentificare divulgate nu provin dintr-o singură sursă, cum ar fi o breșă la o singură companie. În schimb, se pare că datele au fost furate în timpul mai multor breșe de-a lungul timpului, apoi compilate și expuse public pentru scurt timp, moment în care le-au descoperit cercetătorii Cybernews. Cel mai probabil, vinovați sunt diverși „infostealeri”, notează Cybernews. Infostealerii sunt o formă de software rău intenționat care pătrunde în dispozitivul sau sistemele unei victime pentru a sustrage informații sensibile. Seturile de date furate – de la 16 milioane la 3,5 miliarde de înregistrări Potrivit cercetătorilor, scurgerile de date la această scară oferă “combustibil” pentru campaniile de phishing, preluarea conturilor, intruziunile ransomware și atacurile de compromitere a e-mailurilor de afaceri. Seturile de date descoperite de echipă diferă foarte mult. De exemplu, cel mai mic, denumit după un software malițios, avea peste 16 milioane de înregistrări. Între timp, cel mai mare, cel mai probabil legat de populația vorbitoare de portugheză, avea peste 3,5 miliarde de înregistrări. Unele dintre seturile de date aveau denumiri generice, cum ar fi „logări”, „acreditări” și termeni similari, împiedicând echipa Cybernews să înțeleagă mai bine ce se află în interior. Altele, însă, sugerau serviciile cu care aveau legătură. De exemplu, un set de date cu peste 455 de milioane de înregistrări era denumit pentru a indica originea sa în Federația Rusă. Un alt set de date, cu peste 60 de milioane de înregistrări, era denumit după platforma de mesagerie instant Telegram. Cercetătorii susțin că noi seturi masive de date apar la fiecare câteva săptămâni, indicând cât de răspândit este cu adevărat malware-ul de tip infostealer. Foto: Profimedia CITIȚI ȘI: Avertismentul președintelui Cehiei: Pentru Europa, amenințările cibernetice din partea Rusiei și Chinei sunt la fel de GRAVE Adrian Sabău, originar din București, a absolvit studiile de licență la Universitatea din București. Aflat la începutul carierei la “Gândul”, a mai lucrat anterior ca traducător. Este pasionat … vezi toate articolele
Retailerul britanic Marks & Spencer a anunțat că datele personale ale clienților au fost furate în urma unui atac cibernetic
Marks & Spencer a dezvăluit că date personale ale clienților au fost furate în cadrul atacului cibernetic care a vizat compania în urmă cu trei săptămâni. Printre datele furate s-ar putea număra date de contact și date de naștere, a anunțat retailerul din Marea Britanie, conform BBC. Reprezentanții companiei au declarat că informațiile personale furate ar putea include, de asemenea, istoricul comenzilor online, dar a adăugat că furtul de date nu a inclus detalii utilizabile privind plățile sau cardurile sau parolele conturilor. M&S a fost afectată de atacul cibernetic în urmă cu aproximativ trei săptămâni și încă face eforturi să readucă serviciile la normal, comenzile online fiind încă suspendate. Retailerul a spus că clienții vor fi invitați să reseteze parolele conturilor „pentru o liniște sufletească suplimentară”. Directorul executiv al M&S, Stuart Machin, a declarat că compania le-a scris clienților marți pentru a-i informa că „din păcate, unele informații personale ale clienților au fost furate”. „Important este că nu există dovezi că informațiile au fost împărtășite”, a adăugat el. M&S a confirmat că informațiile de contact furate ar putea include numele, numerele de telefon și adresele de domiciliu și de e-mail, dar a spus că orice informații despre carduri furate nu vor fi utilizabile, deoarece compania păstrează detalii complete despre plațile cu cardul în sistemele sale. Într-un e-mail către clienți, directorul de operațiuni al M&S, Jayne Wall, a anunțat: „Nu trebuie să luați nicio măsură, dar este posibil să primiți e-mailuri, apeluri sau mesaje care pretind că sunt de la M&S când de fapt nu sunt, așa că fiți precauți. Amintiți-vă că nu vă vom contacta niciodată și nu vă vom cere să ne furnizați informații personale despre cont, cum ar fi numele de utilizator, și nu vă vom cere niciodată să ne dați parola.” Retailerul este doar cel mai recent brand important care a experimentat întreruperi semnificative ale serviciilor sale online în ultimele luni. Anul trecut, Morrisons s-a confruntat cu probleme uriașe cu comenzile din perioada de Crăciun, cu livrări anulate și reduceri neaplicate. În primele două luni ale acestui an, au urmat două întreruperi majore în activitatea bancară în ceea ce era ziua de plată pentru mulți salariați. În ianuarie, probleme IT grave de la Barclays au afectat aplicația băncii și serviciile bancare online. Ulterior, s-a dezvăluit că Barclays ar putea primi despăgubiri de 12,5 milioane de lire sterline. În februarie, mai multe bănci – în special Lloyds – s-au confruntat cu întreruperi, lăsând multe companii în situația de a le fi imposibil să plătească personalul. Foto: Profimedia CITIȚI ȘI: Adrian Sabău, originar din București, a absolvit studiile de licență la Universitatea din București. Aflat la începutul carierei la “Gândul”, a mai lucrat anterior ca traducător. Este pasionat … vezi toate articolele