Atores de ameaça vêm utilizando ferramentas e softwares de inteligência artificial (AI), aparentemente legítimos, para distribuir malware de forma sorrateira em ataques futuros a organizações ao redor do mundo.
Segundo a Trend Micro, a campanha explora ferramentas de produtividade e recursos aprimorados por AI para entregar malware com foco em diversas regiões, incluindo Europa, Américas e o conjunto Ásia, Oriente Médio e África (AMEA).
Setores como manufatura, governo, saúde, tecnologia e varejo estão entre os mais afetados.
Países como Índia, Estados Unidos, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá lideram o número de infecções, evidenciando uma propagação global significativa.
Pesquisadores de segurança, entre eles Jeffrey Francis Bonaobra e Joshua Aquino, destacam: “Essa rápida disseminação em múltiplas regiões indica que a campanha EvilAI não é um incidente isolado, mas sim uma operação ativa e em evolução, circulando livremente.”
Batizada de EvilAI pela Trend Micro, a campanha demonstra um alto nível de sofisticação.
Os atacantes conseguem camuflar malware dentro de softwares que parecem legítimos e funcionais, dificultando a detecção tanto por usuários quanto por sistemas de segurança.
Entre os programas usados para distribuir a ameaça estão AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister e Tampered Chef.
Expel, G DATA e TRUESEC divulgaram análises detalhadas sobre a campanha no mês passado.
O diferencial da EvilAI está no cuidado em fazer esses aplicativos parecerem autênticos, enquanto executam diversas ações maliciosas em segundo plano, sem despertar suspeitas.
A fraude é reforçada pela utilização de certificados digitais emitidos para empresas temporárias, já que os certificados antigos são revogados regularmente.
De acordo com a Trend Micro, “EvilAI se disfarça como ferramentas de produtividade ou AI, com interfaces profissionais e assinaturas digitais válidas, tornando difícil para usuários e ferramentas de segurança diferenciarem do software legítimo.”
O objetivo final da campanha é realizar reconhecimento detalhado do ambiente, exfiltrar dados sensíveis do navegador e manter comunicação criptografada em tempo real com servidores de comando e controle (C2).
Para isso, utiliza canais cifrados com AES para receber instruções e distribuir payloads adicionais.
A propagação se dá por vários métodos: sites recém-registrados que imitam portais oficiais, anúncios maliciosos, manipulação SEO e links patrocinados em fóruns e redes sociais.
Conforme a Trend Micro, EvilAI atua como um stager, ou seja, um componente responsável por ganhar acesso inicial, garantir persistência no sistema infectado e preparar o ambiente para payloads extras.
Ele também tenta identificar softwares de segurança instalados e dificultar a análise.
“Ao invés de arquivos claramente maliciosos, esses trojans simulam software real para entrar despercebidos em ambientes corporativos e pessoais, garantindo acesso persistente antes que qualquer suspeita surja”, explicou a empresa.
“Essa estratégia dupla mantém as expectativas do usuário e reduz drasticamente chances de investigação ou detecção.”
Análises da G DATA indicam que os responsáveis pelos softwares OneStart, ManualFinder e AppSuite são os mesmos, compartilhando infraestrutura para distribuição e configuração.
A pesquisadora Banu Ramakrishnan comentou: “Eles vêm distribuindo malware disfarçado de jogos, aplicativos de receitas e manuais, recentemente incorporando o termo ‘AI’ para atrair usuários.”
A Expel identificou que os desenvolvedores das campanhas AppSuite e PDF Editor utilizaram pelo menos 26 certificados digitais emitidos para companhias no Panamá, Malásia e outros países nos últimos sete anos, para validar seus softwares.
Esse malware, rastreado pela Expel sob o nome BaoLoader, se diferencia do TamperedChef por comportamentos e padrões distintos nos certificados usados.
Importante destacar que TamperedChef foi inicialmente associado a um aplicativo malicioso de receitas, configurado para montar um canal oculto de comunicação com servidor remoto e conduzir roubos de dados.
Segundo a Expel, “TamperedChef usou certificados emitidos para companhias na Ucrânia e Reino Unido, enquanto BaoLoader fez uso contínuo de certificados do Panamá e Malásia.”
Além disso, Field Effect e GuidePoint Security descobriram outros binários assinados digitalmente, que se disfarçam de ferramentas de calendário e visualizadores de imagem.
Esses aplicativos usam o framework desktop NeutralinoJS para executar código JavaScript arbitrário e capturar dados sensíveis.
De acordo com a Field Effect, “O uso do NeutralinoJS para executar payloads JavaScript e interagir com APIs nativas do sistema permitiu acesso oculto ao sistema de arquivos, criação de processos e comunicação de rede.” A técnica para codificar os payloads usando homoglifos Unicode em respostas de API aparentemente inocentes ajudou a evitar detecção baseada em strings e assinaturas.
A empresa canadense ressalta que a presença de diversos emissores de certificados em várias amostras aponta para um provedor de malware-as-a-service compartilhado, ou um mercado de code-signing que facilita ampla distribuição.
“A campanha TamperedChef mostra como atores de ameaça estão evoluindo seus métodos de entrega ao explorar aplicações potencialmente indesejadas, abusar da assinatura digital de código e empregar técnicas clandestinas de codificação”, concluem.
“Essas táticas permitem que o malware se disfarce de softwares legítimos, vença defesas em endpoints e aproveite a confiança dos usuários.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...