Главная страница » Индикаторы компрометации
0
13 дней
Индикаторы компрометации

EvilAI: злоумышленники используют ИИ для создания скрытых атак через поддельные приложения

APT

Группа злоумышленников EvilAI применяет искусственный интеллект для генерации вредоносного кода и запуска масштабной кампании, маскируя своё ПО под легитимные приложения. Это позволяет им обходить системы безопасности, похищать учётные данные и длительно контролировать организации по всему миру. Эксперты Trend Micro обнаружили, что атаки уже затронули Европу, Америку и регион AMEA (Азия, Ближний Восток, Африка), а наиболее пострадавшими секторами стали промышленность, государственные службы и здравоохранение.

Описание

EvilAI маскируется под инструменты для повышения продуктивности или приложения с функциями ИИ, используя профессионально выглядящие интерфейсы и действительные цифровые подписи. Это затрудняет для пользователей и средств защиты отличие вредоносного ПО от настоящего. Вредоносная программа похищает данные браузеров и поддерживает зашифрованное взаимодействие с командными серверами через каналы с AES-шифрованием для получения команд и развёртывания дополнительных нагрузок.

Согласно данным телеметрии, наибольшее число инцидентов зафиксировано в Европе (56 случаев), затем следуют Америка и регион AMEA (по 29 случаев). Среди стран лидируют Индия (74), США (68) и Франция (58). В отраслевом разрезе наиболее часто атакам подвергались manufacturing (58), государственный сектор (51) и healthcare (48).

Для проникновения злоумышленники используют троянцы, которые имитируют реальное программное обеспечение. Приложения распространяются через вновь созданные веб-сайты, имитирующие порталы vendors, а также с помощью рекламы, SEO-манипуляций и рекламных ссылок в соцсетях. Для усиления доверия attackers используют цифровые подписи, часто полученные через недавно созданные компании, что позволяет их вредоносным программам выглядеть как проверенное ПО.

Одной из ключевых особенностей EvilAI является применение ИИ для создания кода, который выглядит чистым и легитимным, что позволяет избегать обнаружения традиционными средствами защиты. Например, в случае с JustAskJacky код, сгенерированный ИИ, не вызывает подозрений при статическом анализе.

Процесс заражения начинается с запуска пользователем поддельного приложения, которое затем скрытно запускает Node.js для выполнения JavaScript-полезной нагрузки. Для обеспечения устойчивости malware создает scheduled task с именем, похожим на легитимный процесс Windows, который запускается ежедневно и повторяется каждые четыре часа. Кроме того, вредоносная программа добавляет запись в реестр Windows для автоматического запуска при входе пользователя в систему.

EvilAI использует WMI для определения активных процессов браузеров, таких как Microsoft Edge и Google Chrome, а также выполняет запросы к реестру для перечисления установленного ПО, в особенности антивирусных решений. После этого attackers принудительно завершают процессы браузеров, чтобы скопировать файлы с учётными данными.

Для взаимодействия с C&C серверами EvilAI применяет AES-256-CBC шифрование, используя уникальный идентификатор экземпляра malware в качестве ключа. Основная функция обработки команд позволяет выполнять операции с файлами, изменять реестр, запускать процессы и обрабатывать скрипты, обеспечивая постоянный контроль над заражённой системой.

Чтобы защититься от угроз, подобных EvilAI, рекомендуется загружать ПО только из проверенных источников, использовать современные security-решения с поведенческим анализом, регулярно обновлять системы и приложения, а также обучать пользователей распознавать социальную инженерию. Многоуровневый подход к безопасности позволяет значительно снизить риски заражения.

EvilAI демонстрирует, что ИИ становится инструментом не только защитников, но и злоумышленников, создающих всё более скрытные и адаптивные угрозы. В современных условиях необходимо применять продвинутые и адаптивные системы защиты, чтобы противостоять развивающимся киберрискам.

Индикаторы компрометации

URLs

  • https://5b7crp.com
  • https://9mdp5f.com
  • https://abf26u.com
  • https://mka3e8.com
  • https://y2iax5.com

SHA256

  • 49a4442e73521ecca8e56eb6dbc33f31eb7cfa5e62a499e552bcd29a29d79d8a
  • 8ecd3c8c126be7128bf654456d171284f03e4f212c27e1b33f875b8907a7bc65
  • 95001359fb671d0e6d97f37bd92642cc993e517d2307f373bfa9893639f1a2bc
  • 9f369e63b773c06588331846dd247e48c4030183df191bc53d341fcc3be68851
  • ad0655b17bbdbd8a7430485a10681452be94f5e6c9c26b8f92e4fcba291c225a
  • b0c321d6e2fc5d4e819cb871319c70d253c3bf6f9a9966a5d0f95600a19c0983
  • cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c
  • ce834dca38aeac100f853d79e77e3f61c12b9d4da48bb0a949d0a961bf9c0a27
  • cf45ab681822d0a4f3916da00abd63774da58eb7e7be756fb6ec99c2c8cca815
Комментарии: 0
Похожие записи
0
16.09.2024
Индикаторы компрометации

Поддельный Palo Alto GlobalProtect используется в качестве заманухи для создания бэкдоров на предприятиях

security
Исследователи компании Trend Micro обнаружили кампанию, в рамках которой злоумышленники используют поддельную версию инструмента Palo Alto GlobalProtect, нацеленную на организации Ближнего Востока.
0
21.12.2022
Индикаторы компрометации

Новая угроза: вредоносная программа Raspberry Robin атакует телекоммуникационные и государственные системы

malware
Компания Trend Micro обнаружила опасную вредоносную программу под названием Raspberry Robin, которая активно распространяется в корпоративных и государственных сетях с сентября этого года.
0
15.08.2023
Индикаторы компрометации

Monti Ransomware IOCs

ransomware
Группа разработчиков вымогательского ПО Monti возобновила свою деятельность, сосредоточившись на учреждениях юридической и правительственной сферы. Одновременно с этим появился новый вариант Monti, основанный