Redazione RHC : 15 septiembre 2025 19:44
Una nueva campaña de malware EvilAI, rastreada por Trend Micro, ha demostrado cómo la inteligencia artificial se está convirtiendo cada vez más en una herramienta para los ciberdelincuentes. En las últimas semanas, se han reportado decenas de infecciones en todo el mundo. El malware se hace pasar por aplicaciones legítimas basadas en IA y muestra interfaces profesionales, funciones funcionales e incluso firmas digitales válidas. Este enfoque le permite eludir la seguridad tanto de los sistemas corporativos como de los dispositivos domésticos.
| País | Recuento |
| India | 74 |
| Estados Unidos Estados Unidos | 68 |
| Francia | 58 |
| Italia | 31 |
| Brasil | 26 |
| Alemania | 23 |
| Reino Unido | 14 |
| Noruega | 10 |
| España | 10 |
| Canadá | 8 |
<a Los analistas comenzaron a monitorear la amenaza el 29 de agosto y, en una semana, ya habían detectado una oleada de ataques a gran escala. El mayor número de casos se detectó en Europa (56), seguida de las regiones de América y AMEA (29 cada una). Por país, India lidera con 74 incidentes, seguida de Estados Unidos con 68 y Francia con 58. La lista de víctimas también incluye a Italia, Brasil, Alemania, Gran Bretaña, Noruega, España y Canadá. Los sectores más afectados son el manufacturero, el público, el médico, el tecnológico y el comercio minorista. La propagación fue especialmente grave en el sector manufacturero, con 58 casos, y en los sectores público y sanitario, con 51 y 48 casos, respectivamente. EvilAI se distribuye a través de dominios falsos recién registrados, anuncios maliciosos y enlaces a foros. Los instaladores usan nombres neutrales pero plausibles como App Suite, PDF Editor o JustAskJacky, lo que reduce las sospechas.
Una vez iniciadas, estas aplicaciones ofrecen funcionalidades reales, desde procesamiento de documentos hasta recetas y chat con IA, pero también incorporan un cargador Node.js oculto. Este inyecta código JavaScript ofuscado con un identificador único en la carpeta Temp y lo ejecuta mediante un proceso node.exe minimizado.
La persistencia en el sistema se produce de varias maneras simultáneamente: se crea una tarea del programador de Windows en forma de un componente del sistema llamado sys_component_health_{UID}, se añaden al registro un acceso directo al menú Inicio y una clave de carga automática. La tarea es Se activa cada cuatro horas y el registro garantiza su activación al iniciar sesión.
Este enfoque multicapa hace que la eliminación de amenazas sea especialmente laboriosa. Todo el código se construye utilizando modelos de lenguaje, lo que permite una estructura limpia y modular, y evita los analizadores de firmas estáticos. La ofuscación compleja proporciona protección adicional: alineación del flujo de control con bucles basados en MurmurHash3 y cadenas codificadas en Unicode.
Para robar datos, EvilAI utiliza el Instrumental de Administración de Windows y consultas de registro para identificar los procesos activos de Chrome y Edge. Estos se cierran forzosamente para desbloquear los archivos de credenciales. La configuración del navegador «Datos web» y «Preferencias» se copia con el sufijo Sync a los directorios del perfil original y luego se extrae mediante solicitudes HTTPS POST.
El canal de comunicación con el servidor de comando y control se cifra mediante el algoritmo AES-256-CBC con una clave generada a partir del ID de infección único. Las máquinas infectadas consultan regularmente el servidor y reciben comandos para descargar módulos adicionales, modificar parámetros de registro o iniciar procesos remotos.
Los expertos aconsejan a las organizaciones confiar no solo en las firmas digitales y la apariencia de las aplicaciones, sino también en verificar las fuentes de distribución y prestar especial atención a los programas de nuevos editores. Los mecanismos de comportamiento que registran inicios inesperados de Node.js, actividad sospechosa del programador o entradas de inicio pueden brindar protección.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
