O campanie maliţioasă identificată de cercetători sub numele EvilAI foloseşte aplicaţii aparent legitime – de la „unelte AI” până la programe de productivitate – pentru a instala backdoor-uri şi a pregăti atacuri asupra companiilor şi instituţiilor din mai multe ţări.
Analizele realizate de Trend Micro, completate de investigaţii ale Expel, G DATA şi TRUESEC, arată că atacatorii distribuie aplicaţii cu interfeţe profesionale care ascund componente periculoase. Printre denumirile folosite ca paravan se numără AppSuite, PDF Editor, OneStart, Manual Finder, Tampered Chef şi Recipe Lister. Aceste programe pot facilita recunoaşterea reţelei, furtul de date şi menţinerea unei conexiuni criptate cu serverele de comandă şi control.
Cele mai afectate ţări includ India, Statele Unite, Franţa, Italia, Brazilia, Germania, Regatul Unit, Norvegia, Spania şi Canada, iar sectoarele vizate variază de la guvern şi producţie la sănătate, tehnologie şi retail. Dimensiunea multi-regională a atacurilor sugerează că EvilAI nu este un incident izolat, ci o campanie activă, în desfăşurare.
Atacatorii folosesc tactici complexe pentru a evita detectarea: certificate digitale emise pe firme fictive, site-uri care imită portaluri legitime, reclame maliţioase, manipulare SEO şi promovări pe forumuri sau reţele sociale. În multe cazuri, EvilAI acţionează ca un „stager”, adică obţine iniţial acces, instalează persistenţa şi pregăteşte terenul pentru încărcarea unor payload-uri suplimentare.
Funcţionalităţile raportate includ scanarea software-ului de securitate, furtul datelor din browsere şi comunicarea bidirecţională criptată prin canale AES. Unele variante, cunoscute sub numele BaoLoader, sunt folosite pentru fraudă publicitară şi alte activităţi ilicite. În plus, cercetătorii au identificat implementări bazate pe NeutralinoJS, care permit acces direct la fişiere, procese şi reţea, complicând şi mai mult detectarea.
Experţii recomandă prudenţă sporită la descărcarea aplicaţiilor necunoscute, verificarea atentă a certificatelor digitale şi folosirea unor soluţii EDR/AV actualizate. Organizaţiile ar trebui să restricţioneze instalarea de software pe endpoint-uri şi să trateze cu scepticism linkurile externe şi reclamele online.
Campania EvilAI evidenţiază modul în care popularitatea termenului „AI” poate fi exploatată pentru a induce în eroare utilizatorii, malware-ul fiind livrat sub aparenţa unor instrumente inovatoare, dar cu scopuri strict infracţionale.
