O campanie rău intenționată, denumită de cercetători EvilAI, folosește aplicații care par legitime, de la „unelte AI” la programe de productivitate, pentru a instala backdoor-uri și a pregăti atacuri asupra companiilor și instituțiilor din întreaga lume.
Metode de camuflare sofisticate și ținte cât se poate de diverse
Conform analizei efectuate de Trend Micro și completate de investigații efectuate de firme de securitate precum Expel, G DATA și TRUESEC, atacatorii distribuie aplicații cu interfețe profesionale care conțin componente malițioase ascunse, scrie The Hacker News.
Denumiri aparent inofensive, AppSuite, PDF Editor, OneStart, Manual Finder, Tampered Chef sau Recipe Lister, au fost folosite ca paravan pentru livrarea unor coduri care permit recunoaștere, exfiltrare de date și menținerea unei conexiuni criptate cu serverele de comandă și control (C2).
Țările cele mai afectate în acest val includ India, Statele Unite, Franța, Italia, Brazilia, Germania, Regatul Unit, Norvegia, Spania și Canada, iar sectoarele vizate variază de la producție și guvern, la sănătate, tehnologie și retail.
Răspândirea rapidă și multi-regională sugerează că nu este vorba de un incident izolat, ci de o campanie activă, în evoluție.
Atacatorii recurg la tehnici elaborate pentru a evita detectarea: folosirea de certificate digitale emise pe firme „dispozabile” (multe dintre semnături vechi fiind ulterior revocate), situri noi care mimează portaluri legitime ale furnizorilor, reclame malițioase, manipulare SEO și linkuri promovate pe forumuri sau rețele sociale. Toate acestea sporesc încrederea utilizatorului și scad probabilitatea unei investigări imediate.
Funcții, infrastructură și cum te aperi
EvilAI acționează în multe cazuri ca un stager, adică intră inițial pentru a obține acces, instalează persistenta și pregătește mediul pentru încărcarea unor payload-uri ulterioare.
Printre capabilitățile raportate se numără scanarea software-ului de securitate instalat, furtul datelor din browsere și comunicarea bidirecțională criptată (canale AES) cu servere C2, permițând operatorilor să ruleze comenzi sau să descarce module adiționale.
Anumite variante sunt urmărite sub eticheta BaoLoader, descris de unii cercetători drept un backdoor folosit pentru fraudă publicitară și alte activități ilicite. Alte campanii, incluse în termenul umbrelă EvilAI, operează separat, dar pot împărți infrastructură sau vânzători de servicii (MaaS – malware-as-a-service).
În unele cazuri, aceeași infrastructură a fost asociată cu distribuirea mai multor aplicații frauduloase, ceea ce indică o rețea coordonată de dezvoltatori și distribuitori.
De asemenea, au fost semnalate implementări care folosesc cadrul NeutralinoJS pentru a rula cod JavaScript local, facilitând acces la sistem de fișiere, lansarea de procese și comunicarea în rețea, tehnici care complică detectarea, mai ales când payload-urile sunt ascunse prin coduri stocate cu trucuri de tip Unicode homoglyph.
Ce pot face organizațiile pentru a se proteja de EvilAI
Specialiștii recomandă prudență sporită la descărcarea unor aplicații necunoscute, verificarea atentă a certificatelor digitale (și a istoricului lor), folosirea unor soluții EDR/AV actualizate și monitorizarea activității rețelei pentru semne de comunicații C2 anormale.
De asemenea, organizațiile ar trebui să trateze cu scepticism download-urile promovate prin reclame sau linkuri externe și să aplice politici stricte privind instalarea de software pe endpoint-uri.
Într-o perioadă în care „AI” devine un termen de marketing folosit pentru a atrage utilizatori, campania EvilAI arată cât de eficient pot fi abuzate aceste trenduri: atacatorii îmbracă malware-ul în ambalaje credibile, profitând de încrederea utilizatorilor și de lacunele în procesele de verificare. Protecția rămâne, ca de obicei, un mix de tehnologie, proceduri și vigilență umană.