EvilAI: il malware che sfrutta l’intelligenza artificiale per aggirare la sicurezza

Redazione RHC : 15 Settembre 2025 19:41

Una nuova campagna malware EvilAI monitorata da Trend Micro ha dimostrato come l’intelligenza artificiale stia diventando sempre più uno strumento a disposizione dei criminali informatici. Nelle ultime settimane sono state segnalate decine di infezioni in tutto il mondo, con il malware che si maschera da legittime app basate sull’intelligenza artificiale e mostra interfacce dall’aspetto professionale, funzionalità funzionali e persino firme digitali valide. Questo approccio gli consente di aggirare la sicurezza sia dei sistemi aziendali che dei dispositivi domestici.

Gli analisti hanno iniziato a monitorare la minaccia il 29 agosto e nel giro di una settimana avevano già notato un’ondata di attacchi su larga scala. Il maggior numero di casi è stato rilevato in Europa (56), seguito dalle regioni di America e AMEA (29 ciascuna). Per paese, l’India è in testa con 74 incidenti, seguita dagli Stati Uniti con 68 e dalla Francia con 58. L’elenco delle vittime includeva anche Italia, Brasile, Germania, Gran Bretagna, Norvegia, Spagna e Canada.

I settori più colpiti sono manifatturiero, pubblico, medico, tecnologico e commercio al dettaglio. La diffusione è stata particolarmente grave nel settore manifatturiero, con 58 casi, e nel settore pubblico e sanitario, con rispettivamente 51 e 48 casi.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

EvilAI viene distribuito tramite domini falsi appena registrati, annunci pubblicitari dannosi e link a forum. Gli installer utilizzano nomi neutri ma plausibili come App Suite, PDF Editor o JustAskJacky, il che riduce i sospetti.

Una volta avviate, queste app offrono funzionalità reali, dall’elaborazione di documenti alle ricette, fino alla chat basata sull’intelligenza artificiale, ma incorporano anche un loader Node.js nascosto. Inserisce codice JavaScript offuscato con un identificatore univoco nella cartella Temp e lo esegue tramite un processo node.exe minimizzato.

La persistenza nel sistema avviene in diversi modi contemporaneamente: viene creata un’attività di pianificazione di Windows sotto forma di componente di sistema denominato sys_component_health_{UID}, viene aggiunto un collegamento al menu Start e una chiave di caricamento automatico nel registro. L’attività viene attivata ogni quattro ore e il registro garantisce l’attivazione all’accesso.

Questo approccio multilivello rende la rimozione delle minacce particolarmente laboriosa. Tutto il codice viene creato utilizzando modelli linguistici, che consentono una struttura pulita e modulare e bypassano gli analizzatori di firme statici. L’offuscamento complesso fornisce ulteriore protezione: allineamento del flusso di controllo con cicli basati su MurmurHash3 e stringhe codificate Unicode.

Per rubare i dati, EvilAI utilizza Windows Management Instrumentation e query del registro per identificare i processi attivi di Chrome ed Edge . Questi vengono quindi terminati forzatamente per sbloccare i file delle credenziali. Le configurazioni del browser “Dati Web” e “Preferenze” vengono copiate con il suffisso Sync nelle directory del profilo originale e quindi rubate tramite richieste HTTPS POST.

Il canale di comunicazione con il server di comando e controllo è crittografato utilizzando l’algoritmo AES-256-CBC con una chiave generata in base all’ID univoco dell’infezione. Le macchine infette interrogano regolarmente il server, ricevendo comandi per scaricare moduli aggiuntivi, modificare i parametri del registro o avviare processi remoti.

Gli esperti consigliano alle organizzazioni di fare affidamento non solo sulle firme digitali e sull’aspetto delle applicazioni, ma anche di controllare le fonti delle distribuzioni e di prestare particolare attenzione ai programmi di nuovi editori. Meccanismi comportamentali che registrano lanci inaspettati di Node.js, attività sospette dello scheduler o voci di avvio possono fornire protezione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli