EvilAI: il malware che sfrutta l’intelligenza artificiale per aggirare la sicurezza

Redazione RHC : 15 Settembre 2025 19:41

Una nuova campagna malware EvilAI monitorata da Trend Micro ha dimostrato come l’intelligenza artificiale stia diventando sempre più uno strumento a disposizione dei criminali informatici. Nelle ultime settimane sono state segnalate decine di infezioni in tutto il mondo, con il malware che si maschera da legittime app basate sull’intelligenza artificiale e mostra interfacce dall’aspetto professionale, funzionalità funzionali e persino firme digitali valide. Questo approccio gli consente di aggirare la sicurezza sia dei sistemi aziendali che dei dispositivi domestici.

Gli analisti hanno iniziato a monitorare la minaccia il 29 agosto e nel giro di una settimana avevano già notato un’ondata di attacchi su larga scala. Il maggior numero di casi è stato rilevato in Europa (56), seguito dalle regioni di America e AMEA (29 ciascuna). Per paese, l’India è in testa con 74 incidenti, seguita dagli Stati Uniti con 68 e dalla Francia con 58. L’elenco delle vittime includeva anche Italia, Brasile, Germania, Gran Bretagna, Norvegia, Spagna e Canada.

I settori più colpiti sono manifatturiero, pubblico, medico, tecnologico e commercio al dettaglio. La diffusione è stata particolarmente grave nel settore manifatturiero, con 58 casi, e nel settore pubblico e sanitario, con rispettivamente 51 e 48 casi.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

EvilAI viene distribuito tramite domini falsi appena registrati, annunci pubblicitari dannosi e link a forum. Gli installer utilizzano nomi neutri ma plausibili come App Suite, PDF Editor o JustAskJacky, il che riduce i sospetti.

Una volta avviate, queste app offrono funzionalità reali, dall’elaborazione di documenti alle ricette, fino alla chat basata sull’intelligenza artificiale, ma incorporano anche un loader Node.js nascosto. Inserisce codice JavaScript offuscato con un identificatore univoco nella cartella Temp e lo esegue tramite un processo node.exe minimizzato.

La persistenza nel sistema avviene in diversi modi contemporaneamente: viene creata un’attività di pianificazione di Windows sotto forma di componente di sistema denominato sys_component_health_{UID}, viene aggiunto un collegamento al menu Start e una chiave di caricamento automatico nel registro. L’attività viene attivata ogni quattro ore e il registro garantisce l’attivazione all’accesso.

Questo approccio multilivello rende la rimozione delle minacce particolarmente laboriosa. Tutto il codice viene creato utilizzando modelli linguistici, che consentono una struttura pulita e modulare e bypassano gli analizzatori di firme statici. L’offuscamento complesso fornisce ulteriore protezione: allineamento del flusso di controllo con cicli basati su MurmurHash3 e stringhe codificate Unicode.

Per rubare i dati, EvilAI utilizza Windows Management Instrumentation e query del registro per identificare i processi attivi di Chrome ed Edge . Questi vengono quindi terminati forzatamente per sbloccare i file delle credenziali. Le configurazioni del browser “Dati Web” e “Preferenze” vengono copiate con il suffisso Sync nelle directory del profilo originale e quindi rubate tramite richieste HTTPS POST.

Il canale di comunicazione con il server di comando e controllo è crittografato utilizzando l’algoritmo AES-256-CBC con una chiave generata in base all’ID univoco dell’infezione. Le macchine infette interrogano regolarmente il server, ricevendo comandi per scaricare moduli aggiuntivi, modificare i parametri del registro o avviare processi remoti.

Gli esperti consigliano alle organizzazioni di fare affidamento non solo sulle firme digitali e sull’aspetto delle applicazioni, ma anche di controllare le fonti delle distribuzioni e di prestare particolare attenzione ai programmi di nuovi editori. Meccanismi comportamentali che registrano lanci inaspettati di Node.js, attività sospette dello scheduler o voci di avvio possono fornire protezione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli