Bezpečnostní experti varují před rozsáhlou kampaní označovanou jako EvilAI, při níž útočníci využívají zdánlivě legitimní nástroje založené na umělé inteligenci k šíření malwaru a infiltrace podnikových sítí napříč kontinenty. Podle společnosti Trend Micro cílí útoky na Evropu, Ameriku i region Asie, Blízkého východu a Afriky (AMEA).
Zasaženy byly především organizace z oblastí průmyslu, státní správy, zdravotnictví, technologií a maloobchodu. Nejvíce případů se objevilo v Indii, USA, Francii, Itálii, Brazílii, Německu, Velké Británii, Norsku, Španělsku a Kanadě, což potvrzuje globální charakter kampaně.
EvilAI se šíří prostřednictvím programů, které napodobují populární aplikace pro zvýšení produktivity či využití AI. Patří mezi ně například AppSuite, Epi Browser, Manual Finder, OneStart, PDF Editor nebo Recipe Lister. Tyto aplikace mají profesionální vzhled, platné digitální podpisy a působí důvěryhodně i pro bezpečnostní nástroje. Po instalaci však provádějí skryté činnosti – sbírají data z prohlížečů, mapují systém a navazují šifrované spojení s řídicími servery (C2).
Útočníci využívají k šíření škodlivých souborů nově registrované domény, podvodné reklamy, manipulaci s výsledky vyhledávání i odkazy na sociálních sítích. Malware funguje jako tzv. stager, který zajišťuje trvalý přístup do systému, zkoumá přítomnost antivirů a připravuje půdu pro nasazení dalších modulů.
Další analýzy společností G DATA a Expel odhalily, že různé varianty malwaru sdílejí infrastrukturu a využívají certifikáty vydané firmám v Panamě, Malajsii, na Ukrajině a ve Velké Británii. Jedním z nejrozšířenějších modulů je BaoLoader, který útočníkům poskytuje vzdálený přístup k systému.
Podle výzkumníků je TamperedChef – dříve považovaný za samostatnou hrozbu – ve skutečnosti variací stejného kódu. Tento malware byl šířen prostřednictvím aplikací vydávajících se za kuchařské či produktivní nástroje a používal framework NeutralinoJS ke spuštění škodlivého JavaScriptu, krádeži dat a obcházení detekce pomocí zakódovaných payloadů.
„Útočníci zneužívají důvěru uživatelů v nástroje označené jako AI, kombinují marketingové techniky s pokročilým kódováním a certifikáty, aby jejich software působil legitimně,“ uvedla společnost Field Effect.
Podle nejnovějších zjištění společnosti WithSecure útočníci po odhalení škodlivé verze AppSuite PDF Editor vydali „čisté“ aktualizace, které odstranily moduly pro krádež dat, ale nadále komunikovaly s útočníkovou infrastrukturou. Poté přešli na nový nástroj nazvaný S3-Forge, který je stále ve vývoji.
„Kampaň TamperedChef ukazuje vysokou míru plánování a profesionality,“ uvedla WithSecure. „Útočníci využili legitimní certifikáty, vytvořili důvěryhodné aplikace a spustili cílenou reklamní kampaň. Uživatelé, kteří instalovali AppSuite PDF Editor, by měli počítat s kompromitací svých přihlašovacích údajů.“
Zdroj: The Hacker News
