Negli ultimi mesi è stata individuata una sofisticata campagna malevola, denominata EvilAI, che sfrutta strumenti di intelligenza artificiale apparentemente legittimi per diffondere malware a livello globale. Secondo ricerche condotte da Trend Micro, i cybercriminali dietro EvilAI utilizzano software di produttività o applicazioni AI per veicolare codice dannoso in regioni come Europa, Americhe e l’area Asia, Medio Oriente e Africa. I settori più colpiti includono manifatturiero, pubblica amministrazione, sanità, tecnologia e retail, con infezioni rilevate in paesi come Italia, India, Stati Uniti, Francia, Germania, Regno Unito, Brasile e Canada.

Strategie e tecniche di attacco

La strategia di EvilAI è particolarmente insidiosa perché i malintenzionati riescono a mascherare le funzionalità dannose dietro interfacce professionali di software firmati digitalmente, rendendo difficile la distinzione tra programmi autentici e malware sia per gli utenti che per i sistemi di sicurezza. Tra le applicazioni coinvolte figurano nomi come AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister e Tampered Chef. In molti casi, i certificati di firma digitale provengono da aziende fittizie, e vengono costantemente aggiornati per aggirare i sistemi di revoca.

Obiettivi e modalità di diffusione

L’obiettivo principale di EvilAI è quello di condurre una fase di ricognizione approfondita, esfiltrare dati sensibili dai browser e mantenere una comunicazione cifrata in tempo reale con i server di comando e controllo tramite canali AES. Questo consente agli attaccanti di impartire comandi e scaricare ulteriori payload, garantendo così persistenza e controllo sui dispositivi infetti. La diffusione avviene tramite siti web fraudolenti che imitano portali ufficiali, annunci malevoli, tecniche SEO e link promossi su forum e social network.

Infrastruttura condivisa e certificati

Un aspetto interessante emerso dalle analisi è che diverse campagne di malware, tra cui OneStart, ManualFinder e AppSuite, condividono la stessa infrastruttura server e vengono spesso distribuite dagli stessi attori. Inoltre, sono stati utilizzati almeno 26 certificati di firma rilasciati a società in Panama e Malesia, rendendo difficile l’identificazione delle minacce.

Tipologie di malware e tecnologie sfruttate

Gli esperti sottolineano che EvilAI rappresenta una macro-categoria che comprende diversi tipi di malware, tra cui BaoLoader e TamperedChef, ognuno con proprie peculiarità e obiettivi, come frodi pubblicitarie e furto di dati. I criminali informatici stanno anche sfruttando framework come NeutralinoJS per eseguire codice JavaScript malevolo sotto le mentite spoglie di applicazioni desktop legittime, eludendo così i sistemi di rilevamento basati sulle firme.

Raccomandazioni

La capacità di queste minacce di adattarsi e utilizzare tecniche di camuffamento sempre più avanzate impone la massima attenzione nella verifica delle fonti di download di software e nell’adozione di strategie di difesa aggiornate in ambito cybersecurity.