Published on

Malware EvilAI se disfarça de ferramentas de IA

Authors

EvilAI Malware Masquerades as AI Tools to Infiltrate Global Organizations

29 de setembro de 2025 - Uma campanha de malware chamada EvilAI está usando ferramentas de inteligência artificial aparentemente legítimas para infiltrar organizações em todo o mundo.

Distribuição Global

A campanha atinge múltiplas regiões incluindo Europa, Américas e Ásia, Oriente Médio e África (AMEA). Os setores mais afetados são manufatura, governo, saúde, tecnologia e varejo, com maior concentração de infecções na Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá.

Táticas de Engano

Os atacantes distribuem malware disfarçado como ferramentas de produtividade e IA, incluindo:

  • AppSuite
  • Epi Browser
  • JustAskJacky
  • Manual Finder
  • OneStart
  • PDF Editor
  • Recipe Lister
  • Tampered Chef

Os aplicativos possuem interfaces profissionais e assinaturas digitais válidas de empresas descartáveis, dificultando a distinção entre software legítimo e malicioso.

Funcionalidades e Objetivos

O EvilAI atua como um "stager" para:

  • Realizar reconhecimento extensivo
  • Exfiltrar dados sensíveis do navegador
  • Manter comunicação criptografada em tempo real com servidores C2
  • Preparar o sistema para payloads adicionais
  • Enumerar software de segurança instalado

Métodos de Propagação

  • Sites recém-registrados que imitam portais de fornecedores
  • Anúncios maliciosos
  • Manipulação de SEO
  • Links promovidos em fóruns e mídias sociais

Infraestrutura Compartilhada

Pesquisas indicam que os mesmos atores por trás de OneStart, ManualFinder e AppSuite compartilham infraestrutura de servidor. Os desenvolvedores usaram pelo menos 26 certificados de assinatura de código de empresas no Panamá e Malásia ao longo de sete anos.

Técnicas Avançadas

A campanha também utiliza:

  • Framework NeutralinoJS para executar código JavaScript arbitrário
  • Homóglifos Unicode para codificar payloads
  • Táticas para evitar detecção baseada em assinatura

A operação demonstra como os atores de ameaças estão evoluindo seus mecanismos de entrega, abusando de aplicações potencialmente indesejadas e técnicas de codificação encobertas para explorar a confiança do usuário.