O campanie rău intenționată denumită EvilAI exploatează aplicații aparent legitime pentru a instala backdoor-uri și a pregăti atacuri cibernetice asupra companiilor și instituțiilor din întreaga lume. Folosirea de software cu interfețe profesionale, însoțite de componente malițioase ascunse, arată un nivel ridicat de sofisticare a metodelor de camuflare utilizate de atacatori.

Metodele de camuflare sofisticate și țintele diverse

Conform investigațiilor realizate de Trend Micro, Expel, G DATA și TRUESEC, atacatorii distribuie aplicații cu denumiri inofensive precum AppSuite, PDF Editor sau Recipe Lister. Acestea conțin cod malițios capabil să permită recunoașterea, exfiltrarea de date și menținerea unei conexiuni criptate cu servere de comandă și control (C2). Țările cel mai frecvent vizate includ India, Statele Unite, Franța, Italia, Brazilia, Germania, Regatul Unit, Norvegia, Spania și Canada.

Distributia rapidă și diversitatea geografică a victimelor arată că EvilAI nu reprezintă un incident izolat, ci o campanie în plină evoluție. Atacatorii recurg la tehnici avansate pentru a evita detectarea, precum utilizarea de certificate digitale emise pe firme „dispozabile”, crearea de situri false ce mimează portaluri legitime și utilizarea reclamelor malițioase și tehnici de manipulare SEO. Aceste metode sporesc încrederea utilizatorilor și reduc probabilitatea unei investigări rapide.

Funcții, infrastructură și măsuri de protecție

EvilAI acționează de multe ori ca un stager, obținând inițial accesul pentru a instala persistenta și a pregăti mediul pentru payload-urile ulterioare. Capabilitățile raportate includ scanarea software-ului de securitate instalat, furtul de date din browsere și comunicarea criptată cu servere C2, ceea ce permite operatorilor să ruleze comenzi și să descarce module suplimentare.

Unele variante sunt urmărite sub denumirea BaoLoader, descris ca un backdoor folosit pentru activități ilicite precum fraudă publicitară. Altele, inclusiv cele din campania EvilAI, pot împărți infrastructură sau servicii de tip Malware-as-a-Service (MaaS). Utilizarea tehnicilor precum rularea de cod JavaScript local cu NeutralinoJS și ascunderea payload-urilor în cod Unicode complică detectarea.

Pentru a se proteja, organizațiile trebuie să fie vigilente

Specialiștii recomandă prudență la descărcarea aplicațiilor necunoscute, verificarea atentă a certificatelor digitale și utilizarea soluțiilor EDR/AV actualizate. Monitorizarea traficului de rețea pentru semne de comunicații C2 și evitarea descărcărilor promovate prin reclame sau linkuri suspecte sunt măsuri esențiale.

De asemenea, este recomandat să se aplice politici stricte privind instalarea software-ului pe endpoint-uri și să se prioritizeze vigilența umană în procesele de verificare.

Evoluția campaniei EvilAI subliniază importanța informării continue și a monitorizării constante a tehnologiilor de securitate. Rămâne esențial ca organizațiile să fie proactive în adaptarea măsurilor de apărare pentru a face față noilor metode agresive de atac cibernetic.