EvilAI: il malware che sfrutta l’intelligenza artificiale per aggirare la sicurezza

Una nuova campagna malware EvilAI monitorata da Trend Micro ha dimostrato come l’intelligenza artificiale stia diventando sempre più uno strumento a disposizione dei criminali informatici. Nelle ultime settimane sono state segnalate decine di infezioni in tutto il mondo, con il malware che si maschera da legittime app basate sull’intelligenza artificiale e mostra interfacce dall’aspetto professionale, funzionalità funzionali e persino firme digitali valide. Questo approccio gli consente di aggirare la sicurezza sia dei sistemi aziendali che dei dispositivi domestici.

Gli analisti hanno iniziato a monitorare la minaccia il 29 agosto e nel giro di una settimana avevano già notato un’ondata di attacchi su larga scala. Il maggior numero di casi è stato rilevato in Europa (56), seguito dalle regioni di America e AMEA (29 ciascuna). Per paese, l’India è in testa con 74 incidenti, seguita dagli Stati Uniti con 68 e dalla Francia con 58. L’elenco delle vittime includeva anche Italia, Brasile, Germania, Gran Bretagna, Norvegia, Spagna e Canada.

I settori più colpiti sono manifatturiero, pubblico, medico, tecnologico e commercio al dettaglio. La diffusione è stata particolarmente grave nel settore manifatturiero, con 58 casi, e nel settore pubblico e sanitario, con rispettivamente 51 e 48 casi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

EvilAI viene distribuito tramite domini falsi appena registrati, annunci pubblicitari dannosi e link a forum. Gli installer utilizzano nomi neutri ma plausibili come App Suite, PDF Editor o JustAskJacky, il che riduce i sospetti.

Una volta avviate, queste app offrono funzionalità reali, dall’elaborazione di documenti alle ricette, fino alla chat basata sull’intelligenza artificiale, ma incorporano anche un loader Node.js nascosto. Inserisce codice JavaScript offuscato con un identificatore univoco nella cartella Temp e lo esegue tramite un processo node.exe minimizzato.

La persistenza nel sistema avviene in diversi modi contemporaneamente: viene creata un’attività di pianificazione di Windows sotto forma di componente di sistema denominato sys_component_health_{UID}, viene aggiunto un collegamento al menu Start e una chiave di caricamento automatico nel registro. L’attività viene attivata ogni quattro ore e il registro garantisce l’attivazione all’accesso.

Questo approccio multilivello rende la rimozione delle minacce particolarmente laboriosa. Tutto il codice viene creato utilizzando modelli linguistici, che consentono una struttura pulita e modulare e bypassano gli analizzatori di firme statici. L’offuscamento complesso fornisce ulteriore protezione: allineamento del flusso di controllo con cicli basati su MurmurHash3 e stringhe codificate Unicode.

Per rubare i dati, EvilAI utilizza Windows Management Instrumentation e query del registro per identificare i processi attivi di Chrome ed Edge . Questi vengono quindi terminati forzatamente per sbloccare i file delle credenziali. Le configurazioni del browser “Dati Web” e “Preferenze” vengono copiate con il suffisso Sync nelle directory del profilo originale e quindi rubate tramite richieste HTTPS POST.

Il canale di comunicazione con il server di comando e controllo è crittografato utilizzando l’algoritmo AES-256-CBC con una chiave generata in base all’ID univoco dell’infezione. Le macchine infette interrogano regolarmente il server, ricevendo comandi per scaricare moduli aggiuntivi, modificare i parametri del registro o avviare processi remoti.

Gli esperti consigliano alle organizzazioni di fare affidamento non solo sulle firme digitali e sull’aspetto delle applicazioni, ma anche di controllare le fonti delle distribuzioni e di prestare particolare attenzione ai programmi di nuovi editori. Meccanismi comportamentali che registrano lanci inaspettati di Node.js, attività sospette dello scheduler o voci di avvio possono fornire protezione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.