Se ha observado que los actores de amenazas utilizan herramientas y software de inteligencia artificial (IA) aparentemente legítimos para filtrar malware de forma furtiva para futuros ataques contra organizaciones de todo el mundo.
Según Trend Micro, la campaña utiliza herramientas de productividad o de inteligencia artificial para lanzar malware dirigido a varias regiones, incluidas Europa, América y la región de Asia, Oriente Medio y África (AMEA).
La fabricación, el gobierno, la salud, la tecnología y el comercio minorista son algunos de los principales sectores afectados por los ataques, y la India, EE. UU., Francia, Italia, Brasil, Alemania, el Reino Unido, Noruega, España y Canadá se han convertido en las regiones con más infecciones, lo que indica una propagación mundial.
«Esta distribución rápida y generalizada en múltiples regiones indica claramente que eVilai no es un incidente aislado, sino más bien una campaña activa y en evolución que actualmente circula en la naturaleza», dijeron los investigadores de seguridad Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio, Emmanuel Roll, Joshua Lijandro Tsang, Armando Nathaniel Pedragoza, Melvin Singwa, Mohammed Malubay y Marco Dela Vega.
Trend Micro ha bautizado la campaña con el nombre en clave de eVilai, y describe a los atacantes que están detrás de la operación como «altamente capaces» debido a su capacidad para difuminar la línea entre el software auténtico y el engañoso para la distribución de malware y su capacidad para ocultar sus características maliciosas en aplicaciones que de otro modo serían funcionales.
Algunos de los programas distribuidos con el método incluyen AppSuite, Epi Browser, Pregúntale a Jacky , Buscador manual, Un inicio , editor de PDF, listador de recetas y Tampered Chef. Algunos aspectos de la campaña fueron documentado en detalle de Expel, G DATA y TRUESEC el mes pasado.
Lo importante de la campaña es lo mucho que han hecho los atacantes para que estas aplicaciones parezcan auténticas y, en última instancia, llevan a cabo una serie de actividades nefastas en segundo plano una vez instaladas, sin levantar ninguna señal de alerta. El engaño se acentúa aún más con el uso de certificados de firmas de empresas desechables, ya que las firmas más antiguas son revocadas.
«eVilai se disfraza de herramientas de productividad o mejoradas por la inteligencia artificial, con interfaces de aspecto profesional y firmas digitales válidas que dificultan que los usuarios y las herramientas de seguridad lo distingan del software legítimo», afirma Trend Micro.
El objetivo final de la campaña es realizar un reconocimiento exhaustivo, filtrar datos confidenciales del navegador y mantener una comunicación cifrada y en tiempo real con sus servidores de comando y control (C2) mediante canales cifrados con AES para recibir las órdenes de los atacantes e implementar cargas útiles adicionales.
Básicamente, utiliza varios métodos de propagación, incluido el uso de sitios web recién registrados que imitan los portales de los proveedores, los anuncios maliciosos, la manipulación del SEO y los enlaces de descarga promocionados en foros y redes sociales.
EvilAI, según Trend Micro, se utiliza como intermediario, ya que actúa principalmente como un conducto para obtener el acceso inicial, establecer la persistencia y preparar el sistema infectado para cargas útiles adicionales, al tiempo que toma medidas para enumerar el software de seguridad instalado y dificultar el análisis.
«En lugar de basarse en archivos obviamente maliciosos, estos troyanos imitan la apariencia de software real para pasar desapercibidos tanto en los entornos corporativos como personales, y a menudo obtienen un acceso persistente antes de levantar cualquier sospecha», dijeron desde la empresa dijo . «Este enfoque de doble propósito garantiza que se cumplan las expectativas del usuario, lo que reduce aún más la posibilidad de que se sospeche o se investigue».
Un análisis más detallado realizado por G GATA también ha determinado que los actores de amenazas detrás de OneStart, ManualFinder y AppSuite son los mismos y que la infraestructura del servidor se comparte para distribuir y configurar todos estos programas.
«Han estado vendiendo malware disfrazado de juegos, recetas impresas, buscador de recetas, buscador manual y, últimamente, añadiendo la palabra de moda 'IA' para atraer a los usuarios», dijo el investigador de seguridad Banu Ramakrishnan dijo .
Expel dijo que los desarrolladores detrás de las campañas de AppSuite y PDF Editor han utilizado al menos 26 certificados de firma de código emitidos para empresas en Panamá y Malasia, entre otras, durante los últimos siete años para hacer que su software parezca legítimo.
La empresa de ciberseguridad está rastreando el malware firmado con estos certificados con el nombre de BaoLoader, añadiendo que es diferente al de TamperedChef, citando diferencias en las diferencias de comportamiento y los patrones de los certificados.
Vale la pena señalar que el nombre TamperedChef fue el primero atribuido a un malicioso aplicación de recetas que está configurado para configurar un canal de comunicación sigiloso con un servidor remoto y recibir comandos que faciliten el robo de datos.
«TamperedChef utilizó certificados de firma de código emitidos para empresas de Ucrania y Gran Bretaña, mientras que BaoLoader utilizó constantemente certificados de Panamá y Malasia», dijo la empresa señaló .
Y eso no es todo. Efecto de campo y Seguridad de GuidePoint Desde entonces, han descubierto más binarios firmados digitalmente que se hacen pasar por herramientas de calendario y visor de imágenes, y utilizan el marco de escritorio NeutralinoJS para ejecutar código JavaScript arbitrario y extraer datos confidenciales.
«El uso de NeutralinoJS para ejecutar cargas útiles de JavaScript e interactuar con las API del sistema nativo permitió el acceso encubierto al sistema de archivos, la generación de procesos y la comunicación en red», afirma Field Effect. «El uso por parte del malware de homoglíficos de Unicode para codificar cargas útiles con respuestas de API aparentemente benignas le permitió eludir la detección basada en cadenas y la coincidencia de firmas».
La empresa canadiense de ciberseguridad dijo que la presencia de varios editores de firmas de código en varias muestras sugiere que se trata de un proveedor compartido de malware como servicio o de un mercado de firma de código que facilita una amplia distribución.
«La campaña TamperedChef ilustra cómo los actores de amenazas están evolucionando sus mecanismos de entrega al convertir en armas aplicaciones potencialmente no deseadas, abusar de la firma de código digital y desplegar técnicas de codificación encubiertas», afirma. «Estas tácticas permiten que el malware se haga pasar por software legítimo, eludir las defensas de los terminales y explotar la confianza de los usuarios».