Tag: evilAI

La campagne EvilAI exploite des applications de confiance pour propager des logiciels malveillants

Des acteurs de menaces ont commencé à utiliser des outils d’intelligence artificielle apparemment légitimes pour distribuer des logiciels malveillants, affectant diverses industries telles que la fabrication, le gouvernement et la santé dans des pays comme les États-Unis, l’Inde et plusieurs pays européens. Cette campagne, connue sous le nom d’EvilAI, est un effort actif et évolutif dans lequel les attaquants déguisent le logiciel malveillant en outils de productivité ou en applications améliorées par l’IA. Le grand danger pour tout type d’organisations Les cybercriminels utilisent des interfaces professionnelles et des signatures numériques valides pour faire en sorte que ces applications semblent légitimes, rendant leur détection difficile pour les utilisateurs et les outils de sécurité. Parmi les […]

Des acteurs de menaces ont commencé à utiliser des outils d’intelligence artificielle apparemment légitimes pour distribuer des malwares, affectant diverses industries telles que la fabrication, le gouvernement et la santé dans des pays comme les États-Unis, l’Inde et plusieurs pays européens. Cette campagne, connue sous le nom de EvilAI, est un effort actif et évolutif dans lequel les attaquants déguisent le logiciel malveillant en outils de productivité ou en applications améliorées par l’IA.

Le grand danger pour tous les types d’organisations

Les cybercriminels utilisent des interfaces professionnelles et des signatures numériques valides pour faire en sorte que ces applications semblent légitimes, rendant leur détection difficile pour les utilisateurs et les outils de sécurité. Parmi les programmes distribués, on trouve AppSuite, Epi Browser et PDF Editor, qui agissent comme des véhicules pour effectuer une reconnaissance approfondie et exfiltrer des données sensibles depuis les navigateurs des victimes.

Les techniques de propagation sont diverses et incluent l’utilisation de sites web récemment enregistrés qui imitent des portails de fournisseurs, de la publicité malveillante, et la manipulation du SEO pour promouvoir des liens de téléchargement sur des forums et des réseaux sociaux. Certains attaques ont été facilitées par des certificats de sociétés du Panama et de Malaisie, et il a été documenté que les développeurs de logiciels malveillants ont utilisé plusieurs certificats pour faire paraître leur logiciel légitime au fil des ans.

Des recherches récentes ont révélé que les acteurs derrière des applications comme OneStart et ManualFinder partagent la même infrastructure de serveur, ce qui suggère un modèle de malware en tant que service. De plus, des techniques avancées telles que le codage Unicode et l’utilisation du framework NeutralinoJS sont utilisées pour dissimuler des activités malveillantes et échapper aux détections.

Cette approche remarquable de camouflage et les capacités d’évasion ont permis aux attaquants d’accéder aux systèmes, alimentant les alarmes sur la sophistication croissante des menaces numériques et l’exploitation de la confiance des utilisateurs.