Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una nuova campagna malware EvilAI monitorata da Trend Micro ha dimostrato come l’intelligenza artificiale stia diventando sempre più uno strumento a disposizione dei criminali informatici. Nelle ultime settimane sono state segnalate decine di infezioni in tutto il mondo, con il malware che si maschera da legittime app basate sull’intelligenza artificiale e mostra interfacce dall’aspetto professionale, funzionalità funzionali e persino firme digitali valide. Questo approccio gli consente di aggirare la sicurezza sia dei sistemi aziendali che dei dispositivi domestici.
| Country | Count |
| India | 74 |
| United States | 68 |
| France | 58 |
| Italy | 31 |
| Brazil | 26 |
| Germany | 23 |
| United Kingdom | 14 |
| Norway | 10 |
| Spain | 10 |
| Canada | 8 |
Gli analisti hanno iniziato a monitorare la minaccia il 29 agosto e nel giro di una settimana avevano già notato un’ondata di attacchi su larga scala. Il maggior numero di casi è stato rilevato in Europa (56), seguito dalle regioni di America e AMEA (29 ciascuna). Per paese, l’India è in testa con 74 incidenti, seguita dagli Stati Uniti con 68 e dalla Francia con 58. L’elenco delle vittime includeva anche Italia, Brasile, Germania, Gran Bretagna, Norvegia, Spagna e Canada.
I settori più colpiti sono manifatturiero, pubblico, medico, tecnologico e commercio al dettaglio. La diffusione è stata particolarmente grave nel settore manifatturiero, con 58 casi, e nel settore pubblico e sanitario, con rispettivamente 51 e 48 casi.
EvilAI viene distribuito tramite domini falsi appena registrati, annunci pubblicitari dannosi e link a forum. Gli installer utilizzano nomi neutri ma plausibili come App Suite, PDF Editor o JustAskJacky, il che riduce i sospetti.
Una volta avviate, queste app offrono funzionalità reali, dall’elaborazione di documenti alle ricette, fino alla chat basata sull’intelligenza artificiale, ma incorporano anche un loader Node.js nascosto. Inserisce codice JavaScript offuscato con un identificatore univoco nella cartella Temp e lo esegue tramite un processo node.exe minimizzato.
La persistenza nel sistema avviene in diversi modi contemporaneamente: viene creata un’attività di pianificazione di Windows sotto forma di componente di sistema denominato sys_component_health_{UID}, viene aggiunto un collegamento al menu Start e una chiave di caricamento automatico nel registro. L’attività viene attivata ogni quattro ore e il registro garantisce l’attivazione all’accesso.
Questo approccio multilivello rende la rimozione delle minacce particolarmente laboriosa. Tutto il codice viene creato utilizzando modelli linguistici, che consentono una struttura pulita e modulare e bypassano gli analizzatori di firme statici. L’offuscamento complesso fornisce ulteriore protezione: allineamento del flusso di controllo con cicli basati su MurmurHash3 e stringhe codificate Unicode.
Per rubare i dati, EvilAI utilizza Windows Management Instrumentation e query del registro per identificare i processi attivi di Chrome ed Edge . Questi vengono quindi terminati forzatamente per sbloccare i file delle credenziali. Le configurazioni del browser “Dati Web” e “Preferenze” vengono copiate con il suffisso Sync nelle directory del profilo originale e quindi rubate tramite richieste HTTPS POST.
Il canale di comunicazione con il server di comando e controllo è crittografato utilizzando l’algoritmo AES-256-CBC con una chiave generata in base all’ID univoco dell’infezione. Le macchine infette interrogano regolarmente il server, ricevendo comandi per scaricare moduli aggiuntivi, modificare i parametri del registro o avviare processi remoti.
Gli esperti consigliano alle organizzazioni di fare affidamento non solo sulle firme digitali e sull’aspetto delle applicazioni, ma anche di controllare le fonti delle distribuzioni e di prestare particolare attenzione ai programmi di nuovi editori. Meccanismi comportamentali che registrano lanci inaspettati di Node.js, attività sospette dello scheduler o voci di avvio possono fornire protezione.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]