Actores de amenazas han comenzado a usar herramientas de inteligencia artificial aparentemente legítimas para distribuir malware, afectando a diversas industrias como manufactura, gobierno y salud en países como EE. UU., India, y varios europeos. Esta campaña, conocida como EvilAI, es un esfuerzo activo y evolutivo en el que los atacantes disfrazan el software malicioso como herramientas de productividad o aplicaciones mejoradas por IA.
El gran peligro para todo tipo de organizaciones
Los cibercriminales utilizan interfaces profesionales y firmas digitales válidas para hacer que estas aplicaciones parezcan legítimas, dificultando su detección por parte de usuarios y herramientas de seguridad. Entre los programas distribuidos se encuentran AppSuite, Epi Browser y PDF Editor, los cuales actúan como vehículos para realizar reconocimiento extenso y exfiltrar datos sensibles desde los navegadores de las víctimas.
Las técnicas de propagación son diversas e incluyen el uso de sitios web recién registrados que imitan portales de proveedores, publicidad maliciosa, y la manipulación de SEO para promover enlaces de descarga en foros y redes sociales. Algunos ataques se han facilitado con certificados de compañías de Panamá y Malasia, y se ha documentado que los desarrolladores del malware han utilizado múltiples certificados para hacer que su software parezca legítimo a lo largo de los años.
Investigaciones recientes han revelado que los actores detrás de aplicaciones como OneStart y ManualFinder comparten la misma infraestructura de servidor, lo que sugiere un modelo de malware como servicio. Además, técnicas avanzadas como la codificación Unicode y el uso del marco de trabajo NeutralinoJS están siendo empleadas para ocultar actividades maliciosas y evadir detecciones.
Este notable enfoque de camuflaje y las capacidades de evasión han permitido a los atacantes obtener acceso a los sistemas, alimentando alarmas sobre la creciente sofisticación de las amenazas digitales y el aprovechamiento de la confianza del usuario.