Recent, cercetările în domeniul securității cibernetice au evidențiat o campanie maliciousă denumită EvilAI, care utilizează aplicații aparent legitime pentru a instala backdoor-uri și a pregăti atacuri cibernetice globale. Această campanie rău intenționată exploatează aplicații folosite frecvent pentru productivitate și unelte de inteligență artificială, transformându-le în instrumente de infiltrare a sistemelor informatice.

Metodele de camuflare sofisticate și țintele diverse subliniază complexitatea acestor atacuri. Conform analizei specialiștilor de la Trend Micro, atacatorii distribuie aplicații cu interfețe de utilizator profesionale, ce conțin componente malițioase ascunse, denumite aparent inofensive, precum AppSuite sau PDF Editor. Acestea transportă coduri pentru recunoaștere, exfiltrare de date și menținerea unui canal criptat cu serverele de comandă și control (C2). Țările vizate includ SUA, India, Franța și Italia, iar sectoarele atacate variază de la guvernare și sănătate la tehnologie și retail. Rapiditatea răspândirii indică o campanie activă și în evoluție, nu un incident izolat.

Atacatorii recurg la tehnici elaborate pentru a evita detectarea, utilizând certificate digitale emise pe firme temporare, site-uri mimicând portalurile legitime sau reclame malițioase. Aceștia folosesc, de asemenea, manipulare SEO și linkuri în rețele sociale pentru a crește încrederea utilizatorilor în aplicațiile compromise. Astfel, victimele pot descoperi infecția cu dificultate, iar riscul de infectare crește.

Infrastructura utilizată de aceste campanii este diversificată și adesea împărțită între mai mulți furnizori sau servicii malware-as-a-service (MaaS). Unele variante operează cu ajutorul platformei NeutralinoJS, facilitând rularea de cod JavaScript local și accesul la fișiere, complicând astfel detectarea. Payload-urile sunt adesea ascunse prin trucuri Unicode, sporind dificultatea de identificare.

Specialiștii recomandă organizațiilor o serie de măsuri de apărare. Acestea includ verificarea atentă a certificatelor digitale, utilizarea soluțiilor antivirus și EDR actualizate și monitorizarea traficului de rețea pentru comunicări neobișnuite cu servere C2. Este esențială, de asemenea, prudența la descărcarea aplicațiilor din surse externe și respectarea unor politici stricte privind instalarea de software.

Campania EvilAI exemplifică eficiența abuzului de trending-ul AI pentru a masca malware-ul. Astfel, utilizatorii și organizațiile trebuie să fie vigilenți și informați constant despre cele mai recente metode de atac. Menținerea unei abordări proactive și informatizarea continuă rămân cele mai eficiente arme împotriva unor astfel de amenințări cibernetice.