Se ha observado que los actores de amenaza utilizan herramientas y software de inteligencia artificial aparentemente legítima (IA) para deslizar malware para futuros ataques contra organizaciones de todo el mundo.
Según Trend Micro, la campaña utiliza herramientas de productividad o mejora de AI para proporcionar malware dirigido a una variedad de regiones, incluidas Europa, América, Asia, Oriente Medio y África (AMEA).
La fabricación, el gobierno, la atención médica, la tecnología y el comercio minorista son algunos de los principales sectores afectados por el ataque, con India, Estados Unidos, Francia, Italia, Brasil, Alemania, el Reino Unido, Noruega, España y Canadá que emergen como las regiones de enfermedades más infecciosas, lo que demuestra la propagación global.
«This rapid, widespread distribution across multiple regions strongly indicates that evil is not an isolated incident, but an active and evolving campaign currently circulating in the wild,» said security researchers Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio, Emmanuel Roll, Joshua Rijandro Singazan, Melvan Nataniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramaniel Ramani Ramani
La campaña, llamada Evyai por Trend Micro, describe a los atacantes detrás de la operación como «muy capaz» debido a su capacidad para difuminar la línea entre el software genuino y engañoso para la distribución de malware y su capacidad para ocultar características maliciosas en aplicaciones funcionales.
Los programas distribuidos utilizando este método incluyen AppSuite, EPI Browser, JustaskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister y Tampered Chef. Varios aspectos de la campaña fueron documentados detalladamente el mes pasado por Expel, G Data y Truesec.
La clave de la campaña es el período de tiempo que los atacantes intentaron hacer que estas aplicaciones parecieran auténticas y, en última instancia, realizan muchas actividades maliciosas en el fondo después de ser instaladas sin re-flagración. El engaño se fortalece aún más mediante la firma de certificados de empresas desechables a medida que se ha revocado la antigua firma.
«Evyai disfraza una herramienta de productividad o mejora de AI-AI con una interfaz profesional y una firma digital válida que dificulta que los usuarios y las herramientas de seguridad distinguen entre un software legítimo», dijo Trend Micro.
El objetivo final de la campaña es llevar a cabo un amplio reconocimiento, eliminar datos confidenciales del navegador, mantener la comunicación en tiempo real cifrada con sus servidores de comando y control (C2) utilizando canales encriptados AES, recibir comandos de atacantes e implementar cargas útiles adicionales.
Básicamente utiliza varios métodos de propagación, incluidos sitios web recientemente registrados que imitan el portal de proveedores, anuncios maliciosos, operaciones de SEO y promoción de enlaces de descarga en foros y redes sociales.
Evyai por tendencia Micro actúa principalmente como un conducto para obtener acceso inicial, establecer persistencia, preparar sistemas infectados para cargas útiles adicionales y como un conducto para enumerar el software de seguridad instalado y el análisis de atasco.
«En lugar de confiar en archivos obviamente maliciosos, estos troyanos pueden imitar la apariencia de un software real, a menudo proporcionando acceso duradero antes de que se noten y sospechen tanto en sus entornos corporativos y personales», dijo la compañía. «Este enfoque de doble propósito satisfará las expectativas de los usuarios y reducirá aún más la probabilidad de duda o investigación».
Un análisis posterior de G Gata determinó que los actores de amenaza detrás de Onestart, Manualfinder y AppSuite eran los mismos, y que la infraestructura del servidor se compartió para la distribución y la configuración de todos estos programas.
«Están agregando la palabra de moda» ai «a seducir a los usuarios, bajo la apariencia de juegos, recetas impresas, buscadores de recetas, visores manuales y malware reciente», dice el investigador de seguridad Banu Ramakrishnan.
Expel dijo que los desarrolladores detrás de las campañas de APPSUITE y Editor PDF han utilizado el software para que parezca legal, utilizando al menos 26 certificados de firma de código emitidos a empresas en Panamá y Malasia en los últimos siete años.
La compañía de ciberseguridad rastrea el malware firmado utilizando estos certificados bajo el nombre de Baoloader, citando diferencias en los patrones de comportamiento y certificado, y agrega que es diferente de TamperedChef.
Tenga en cuenta que el nombre TamperedChef se atribuye originalmente a una aplicación de receta maliciosa que está configurada para usar un servidor remoto para configurar canales de comunicación de sigilo y recibir comandos que facilitan el robo de datos.
«TamperedChef usó certificados de firma de código emitidos a empresas ucranianas y británicas, mientras que Baoloader utilizó constantemente certificados de Panamá y Malasia», señaló la compañía.
Y eso no es todo. Desde entonces, los efectos de campo y la seguridad de los puntos de guía han descubierto más binarios firmados digitalmente bajo la apariencia de herramientas de calendario y visor de imágenes, utilizando el marco de escritorio NeutralinoJS para ejecutar datos sensibles a los código y sifones de JavaScript arbitrarios.
«El uso de NeutralinoJS ejecutó cargas útiles de JavaScript e interactuó con API del sistema nativo, permitiendo el acceso al sistema de archivos de cobertura, el desove de procesos y la comunicación de la red», dijo Field Effect. «El malware pudo evitar la detección basada en cadenas y la coincidencia de firma mediante el uso de homoglíficos de Unicode para codificar la carga útil dentro de una respuesta API aparentemente benigna».
La compañía canadiense de ciberseguridad dijo que la presencia de varios editores de firma de código en múltiples muestras sugiere proveedores de malware como malware compartido o un mercado de firma de código que impulsa una amplia distribución.
«La campaña de TamperedChef muestra cómo los actores de amenaza están evolucionando sus mecanismos de entrega armando aplicaciones potencialmente no deseadas, abusar de firmas de código digital e implementar tecnologías de codificación secretas». «Estas tácticas permiten que el malware se plantee como software legítimo, omite las defensas de punto final y aproveche la confianza del usuario».
Source link
