Según Trend Micro, la campaña utiliza herramientas de productividad o mejoradas con inteligencia artificial para distribuir malware dirigido a varias regiones, incluidas Europa, América y la región de Asia, Medio Oriente y África.
"Esta distribución rápida y generalizada en múltiples regiones indica claramente que EvilAI no es un incidente aislado sino más bien una campaña activa y en evolución que actualmente circula en la naturaleza", dijeron los investigadores de seguridad Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio, Emmanuel Roll, Joshua Lijandro Tsang, Armando Nathaniel Pedragoza, Melvin Singwa, Mohammed Malubay y Marco Dela Vega.
Trend Micro ha bautizado la campaña con el nombre en código EvilAI y describe a los atacantes detrás de la operación como "altamente capaces" debido a su capacidad de difuminar la línea entre software auténtico y engañoso para la distribución de malware y su capacidad de ocultar sus características maliciosas en aplicaciones que de otro modo serían funcionales.
Lo significativo de la campaña es el esfuerzo que han hecho los atacantes para que estas aplicaciones parezcan auténticas y, en última instancia, llevar a cabo una serie de actividades maliciosas en segundo plano una vez instaladas, sin generar sospechas. El engaño se ve reforzado por el uso de certificados de firma de empresas desechables, ya que las firmas antiguas se revocan.
El objetivo final de la campaña es realizar un reconocimiento exhaustivo, extraer datos confidenciales del navegador y mantener una comunicación cifrada en tiempo real con sus servidores de comando y control utilizando canales cifrados con AES para recibir comandos de los atacantes y desplegar cargas útiles adicionales.
EvilAI, según Trend Micro, se utiliza como preparador, actuando principalmente como conducto para obtener acceso inicial, establecer persistencia y preparar el sistema infectado para cargas útiles adicionales, al tiempo que toma medidas para enumerar el software de seguridad instalado y obstaculizar el análisis.
La empresa de ciberseguridad está rastreando el malware firmado usando estos certificados bajo el nombre BaoLoader, y agrega que es diferente de TamperedChef, citando diferencias en las diferencias de comportamiento y los patrones de los certificados.
Y eso no es todo. Field Effect y GuidePoint Security han descubierto desde entonces más binarios firmados digitalmente que se hacen pasar por herramientas de calendario y visualización de imágenes, y que utilizan el framework de escritorio NeutralinoJS para ejecutar código JavaScript arbitrario y extraer datos confidenciales. Estas tácticas permiten que el malware se haga pasar por software legítimo, eluda las defensas de los endpoints y abuse de la confianza de los usuarios.
Datos revelan cómo ChatGPT está transformando la búsqueda de información. Read more..
Las consecuencias del ciberataque a Jaguar Land Rover se amplían. Read more..
Las recientes filtraciones revelan que el próximo modelos combina... Read more..
Un grupo vinculado al ransomware Medusa ofreció... Read more..
Tel: +52 81 2087 0720
Correo: clientes@uno-tic.com.mx
© Unotic, s.a. de c.v. 2021
Website was created with Mobirise