Se han observado actores de amenaza utilizando herramientas y software de inteligencia artificial aparentemente legítima para deslizar malware para futuros ataques contra organizaciones de todo el mundo.
Según Trend Micro, la campaña está utilizando productividad o herramientas mejoradas con AI para entregar malware dirigido a varias regiones, incluidas Europa, América y la región de Asia, Medio Oriente y África (AMEA).
La fabricación, el gobierno, la atención médica, la tecnología y el comercio minorista son algunos de los principales sectores afectados por los ataques, con India, Estados Unidos, Francia, Italia, Brasil, Alemania, el Reino Unido, Noruega, España y Canadá que emergen como las regiones con la mayor cantidad de infecciones, lo que indica una propagación global.
«This swift, widespread distribution across multiple regions strongly indicates that EvilAI is not an isolated incident but rather an active and evolving campaign currently circulating in the wild,» security researchers Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio, Emmanuel Roll, Joshua Lijandro Tsang, Armando Nathaniel Pedragoza, Melvin Singwa, Mohammed Malubay y Marco Dela Vega dijeron.
La campaña ha sido nombrada en código Evilai por Trend Micro, describiendo a los atacantes detrás de la operación como «altamente capaz» debido a su capacidad para difuminar la línea entre el software auténtico y engañoso para la distribución de malware y su capacidad para ocultar sus características maliciosas en aplicaciones funcionales de otro modo.
Algunos de los programas distribuidos utilizando el método incluyen AppSuite, EPI Browser, JustkjackyBuscador manual, EnristadoEditor PDF, receta Lister y Chef Tampered. Algunos aspectos de la campaña fueron documentado en detalle por Expel, G Data y Truesec el mes pasado.
Lo importante de la campaña son las longitudes a las que los atacantes han ido a hacer que estas aplicaciones parezcan auténticas y, en última instancia, realicen una serie de actividades nefastas en el fondo una vez instaladas, sin levantar banderas rojas. El engaño se mejora aún más mediante el uso de certificados de firma de empresas desechables, ya que se revocan las firmas más antiguas.
«Evilai se disfraza de productividad o herramientas mejoradas con AI, con interfaces de aspecto profesional y firmas digitales válidas que dificultan que los usuarios y las herramientas de seguridad lo distinguen del software legítimo», dijo Trend Micro.
El objetivo final de la campaña es llevar a cabo un amplio reconocimiento, exfiltrato de datos del navegador confilado y mantener una comunicación cifrada y en tiempo real con sus servidores de comando y control (C2) utilizando canales cifrados de AES para recibir comandos de atacantes e implementar cargas útiles adicionales.
Básicamente utiliza varios métodos de propagación, incluido el uso de sitios web recientemente registrados que imitan portales de proveedores, anuncios maliciosos, manipulación de SEO y enlaces de descarga promovidos en foros y redes sociales.
Evilai, por tendencia micro, se usa como un stager, que actúa principalmente como un conducto para obtener acceso inicial, establecer persistencia y preparar el sistema infectado para cargas útiles adicionales, mientras toma medidas para enumerar el software de seguridad instalado y obstaculizar el análisis.
«En lugar de confiar en archivos obviamente maliciosos, estos troyanos imitan la apariencia de un software real para pasar desapercibidos en entornos corporativos y personales, a menudo obteniendo acceso persistente antes de aumentar cualquier sospecha», la compañía dicho. «Este enfoque de doble propósito garantiza que se cumplan las expectativas del usuario, reduciendo aún más la posibilidad de sospecha o investigación».
Un análisis posterior de G Gata también ha determinado que los actores de amenaza detrás de Onestart, Manualfinder y AppSuite son los mismos y que la infraestructura del servidor se comparte para distribuir y configurar todos estos programas.
«Han estado vendiendo malware disfrazado de juegos, recetas impresas, buscador de recetas, buscador manual y, últimamente, agregando la palabra de moda 'ai' a los usuarios», el investigador de seguridad Banu Ramakrishnan dicho.
Expel dijo que los desarrolladores detrás de las campañas de APPSUITE y Editores de PDF han utilizado al menos 26 certificados de firma de código emitidos para empresas en Panamá y Malasia, entre otros, en los últimos siete años para que su software parezca legítimo.
La compañía de seguridad cibernética está rastreando el malware firmado utilizando estos certificados bajo el nombre de Baoloader, agregando que es diferente de TamperedChef, citando diferencias en las diferencias de comportamiento y los patrones de certificados.
Vale la pena señalar que el nombre TamperedChef fue el primero atribuido a un malicioso aplicación de receta Eso está configurado para configurar un canal de comunicación sigiloso con un servidor remoto y recibir comandos que faciliten el robo de datos.
«TamperedChef utilizó certificados de firma de código emitidos a empresas en Ucrania y Gran Bretaña, mientras que Baoloader utilizó constantemente certificados de Panamá y Malasia», la compañía señalado.
Y eso no es todo. Efecto de campo y Seguridad de GuidePoint Desde entonces, han descubierto más binarios firmados digitalmente que se disfrazan de calendario y herramientas de visor de imágenes, y utilizan el marco de escritorio NeutralinoJS para ejecutar el código de JavaScript arbitrario y los datos confidenciales del sifón.
«El uso de neutralinojs para ejecutar las cargas útiles de JavaScript e interactuar con el acceso al sistema de archivos encubierto de API nativo habilitado, el desove de procesos y la comunicación de la red», dijo Field Effect. «El uso del malware de homoglíficos Unicode para codificar las cargas útiles dentro de las respuestas de API aparentemente benignas le permitió evitar la detección basada en cadenas y la coincidencia de firmas».
La compañía canadiense de ciberseguridad dijo que la presencia de varios editores de firma de código en múltiples muestras sugiere un proveedor compartido de malware como servicio o un mercado de firma de código que facilita una amplia distribución.
«La campaña de TamperedChef ilustra cómo los actores de amenaza están evolucionando sus mecanismos de entrega armando aplicaciones potencialmente no deseadas, abusando de la firma de código digital e implementando técnicas de codificación encubierta», dijo. «Estas tácticas permiten que Malware se disfraza como software legítimo, omitir las defensas de punto final y explotar la confianza del usuario».
Fuente