São Paulo — InkDesign News — Um novo vetor de ataque, denominado “EvilAI”, está utilizando ferramentas de IA aparentemente legítimas para infiltrar malware em organizações ao redor do mundo. A campanha, monitorada pela Trend Micro, já afetou centenas de vítimas em setores como manufatura, governo e saúde.
Vetor de ataque
Os atacantes estão usando aplicativos produtivos e aprimorados por IA, como App Suite, Epi Browser JustAskJacky, Manual Finder e Tampered Chef, para esconder o malware. De acordo com a Trend Micro, esses aplicativos apresentam interfaces de usuário “profissionalmente elaboradas” e funcionalidades reais que poderiam facilmente enganar os usuários e sistemas de segurança.
Impacto e resposta
A análise da Trend Micro revela que a distribuição do malware é especialmente agressiva e envolve o uso de certificados digitais como parte da manobra de engano. “Eles estão utilizando certificados digitais de várias entidades recém-registradas para assinar seus aplicativos maliciosos, conferindo-lhes a autenticidade que as ferramentas de detecção buscam ao analisar malware” (
“They are using code-signing certificates from several newly registered entities to digitally sign their malicious apps, lending them the authenticity that detection tools look for when scanning for malware.”
(“Eles estão utilizando certificados digitais de várias entidades recém-registradas para assinar seus aplicativos maliciosos, conferindo-lhes a autenticidade que as ferramentas de detecção buscam ao analisar malware.”)— Trend Micro, Pesquisa
).
Quando executados, os aplicativos maliciosos realizam atividades de reconhecimento extensivo, mapeando o ambiente da vítima e identificando produtos de segurança instalados. As vítimas são direcionadas a sites de download fraudulentos através de anúncios maliciosos e links promovidos nas redes sociais.
Análise e recomendações
A complexidade do “EvilAI” torna os produtos antivírus tradicionais, que dependem da análise estática, vulneráveis à detecção. Para mitigar esses riscos, é imprescindível o uso de tecnologias modernas de detecção em tempo real, como as soluções de resposta e detecção de endpoint (EDR). “Para um número crescente de anos, tem sido cada vez mais importante aproveitar soluções de segurança de endpoint que possam buscar comportamentos incomuns em tempo real” (
“For a number of years now it’s been increasingly important to leverage endpoint security solutions that can look for unusual behavior in real-time.”
(“Para um número crescente de anos, tem sido cada vez mais importante aproveitar soluções de segurança de endpoint que possam buscar comportamentos incomuns em tempo real.”)— Eric Skinner, VP de Estratégia de Mercado, Trend Micro
).
Recomenda-se monitorar comportamentos de processos incomuns, tráfego de rede e anomalias no sistema, assim como implementar controles rigorosos de aplicação para bloquear ferramentas não aprovadas.
À medida que as ameaças habilitadas por IA continuam a proliferar, espera-se que a eficácia das técnicas de obfuscação utilizadas pelos atores de ameaças evolua, tornando a proteção cibernética ainda mais desafiadora.
Fonte: (Dark Reading – Segurança Cibernética)
