Redazione RHC : 15 Settembre 2025 19:41
Una nuova campagna malware EvilAI monitorata da Trend Micro ha dimostrato come l’intelligenza artificiale stia diventando sempre più uno strumento a disposizione dei criminali informatici. Nelle ultime settimane sono state segnalate decine di infezioni in tutto il mondo, con il malware che si maschera da legittime app basate sull’intelligenza artificiale e mostra interfacce dall’aspetto professionale, funzionalità funzionali e persino firme digitali valide. Questo approccio gli consente di aggirare la sicurezza sia dei sistemi aziendali che dei dispositivi domestici.
| Country | Count |
| India | 74 |
| United States | 68 |
| France | 58 |
| Italy | 31 |
| Brazil | 26 |
| Germany | 23 |
| United Kingdom | 14 |
| Norway | 10 |
| Spain | 10 |
| Canada | 8 |
Gli analisti hanno iniziato a monitorare la minaccia il 29 agosto e nel giro di una settimana avevano già notato un’ondata di attacchi su larga scala. Il maggior numero di casi è stato rilevato in Europa (56), seguito dalle regioni di America e AMEA (29 ciascuna). Per paese, l’India è in testa con 74 incidenti, seguita dagli Stati Uniti con 68 e dalla Francia con 58. L’elenco delle vittime includeva anche Italia, Brasile, Germania, Gran Bretagna, Norvegia, Spagna e Canada.
I settori più colpiti sono manifatturiero, pubblico, medico, tecnologico e commercio al dettaglio. La diffusione è stata particolarmente grave nel settore manifatturiero, con 58 casi, e nel settore pubblico e sanitario, con rispettivamente 51 e 48 casi.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
EvilAI viene distribuito tramite domini falsi appena registrati, annunci pubblicitari dannosi e link a forum. Gli installer utilizzano nomi neutri ma plausibili come App Suite, PDF Editor o JustAskJacky, il che riduce i sospetti.
Una volta avviate, queste app offrono funzionalità reali, dall’elaborazione di documenti alle ricette, fino alla chat basata sull’intelligenza artificiale, ma incorporano anche un loader Node.js nascosto. Inserisce codice JavaScript offuscato con un identificatore univoco nella cartella Temp e lo esegue tramite un processo node.exe minimizzato.
La persistenza nel sistema avviene in diversi modi contemporaneamente: viene creata un’attività di pianificazione di Windows sotto forma di componente di sistema denominato sys_component_health_{UID}, viene aggiunto un collegamento al menu Start e una chiave di caricamento automatico nel registro. L’attività viene attivata ogni quattro ore e il registro garantisce l’attivazione all’accesso.
Questo approccio multilivello rende la rimozione delle minacce particolarmente laboriosa. Tutto il codice viene creato utilizzando modelli linguistici, che consentono una struttura pulita e modulare e bypassano gli analizzatori di firme statici. L’offuscamento complesso fornisce ulteriore protezione: allineamento del flusso di controllo con cicli basati su MurmurHash3 e stringhe codificate Unicode.
Per rubare i dati, EvilAI utilizza Windows Management Instrumentation e query del registro per identificare i processi attivi di Chrome ed Edge . Questi vengono quindi terminati forzatamente per sbloccare i file delle credenziali. Le configurazioni del browser “Dati Web” e “Preferenze” vengono copiate con il suffisso Sync nelle directory del profilo originale e quindi rubate tramite richieste HTTPS POST.
Il canale di comunicazione con il server di comando e controllo è crittografato utilizzando l’algoritmo AES-256-CBC con una chiave generata in base all’ID univoco dell’infezione. Le macchine infette interrogano regolarmente il server, ricevendo comandi per scaricare moduli aggiuntivi, modificare i parametri del registro o avviare processi remoti.
Gli esperti consigliano alle organizzazioni di fare affidamento non solo sulle firme digitali e sull’aspetto delle applicazioni, ma anche di controllare le fonti delle distribuzioni e di prestare particolare attenzione ai programmi di nuovi editori. Meccanismi comportamentali che registrano lanci inaspettati di Node.js, attività sospette dello scheduler o voci di avvio possono fornire protezione.
RedazioneUna violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...
