Campania EvilAI, identificată recent de cercetătorii de la Trend Micro, Folosirea de aplicații aparent legitime pentru instalarea de backdoor-uri a declanșat un val de alertă în rândul specialiștilor în securitate cibernetică. Analizele demonstrate că atacatorii distribuie programe de productivitate și unelte AI, ascunzând cod malițios în interiorul lor. Această campanie EvilAI vizează companii și instituții din mai multe sectoare.

Metode de camuflare sofisticate și ținte diverse

Aplicațiile frauduloase, cum ar fi AppSuite, PDF Editor sau OneStart, prezintă interfețe profesionale și sunt semnate cu certificate digitale temporare. Campania EvilAI folosește astfel certificate „disponibile”, ulterior revocate, pentru a câștiga încrederea utilizatorilor. Țările vizate includ India, Statele Unite, Franța și alte state din Europa și America de Sud.

Funcții, infrastructură și mecanisme de atac

În multe cazuri, EvilAI acționează ca un stager, obținând acces inițial și instalând persistență pe sistem. Backdoor-urile permit scanarea software-ului de securitate și furtul de date din browsere. Comunicațiile cu serverele C2 sunt criptate cu AES, permițând descărcarea de payload-uri suplimentare.

Tehnologii utilizate

– NeutralinoJS pentru rularea locală de cod JavaScript.
– Payload-uri ascunse prin Unicode homoglyph pentru a evita detectarea.
– Infrastructură comună între variantele denumite BaoLoader și alte servicii Malware-as-a-Service.

Ce pot face organizațiile pentru a se proteja de campania EvilAI

Specialiștii recomandă următoarele măsuri:
– Verificați cu atenție certificatul digital al oricărui program descărcat.
– Implementați soluții EDR/AV actualizate și monitorizați traficul de rețea pentru conexiuni C2 suspecte.
– Restricționați instalarea de software necunoscut și dezactivați macro-urile neautorizate.

Într-un context în care termenul „AI” este utilizat în scopuri de marketing, campania EvilAI demonstrează riscurile asociate exploatării tendințelor tehnologice. Informațiile actualizate subliniază necesitatea unui set combinat de tehnologie, proceduri stricte și vigilență continuă pentru a contracara amenințările cibernetice.