Cibercriminosos usam ferramentas e softwares de inteligência artificial (IA) para distribuir malware e preparar terreno para futuros ataques à empresas. O Brasil é um dos países visados nesta nova campanha.
Ferramentas de produtividade e aprimoramento por IA que parecem legítimos, estão executando atividades maliciosas em segundo plano assim que são instalados. Os atacantes estão mirando setores como manufatura, governo, saúde, tecnologia e varejo, em países como Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá.
A ameaça, batizada de EvilAI e identificada pela Trend Micro, usa apps como AppSuite, EpiBrowser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister e Tampered Chef como isca.
Para enganar as vítimas, os criminosos usam sites falsos que se passam por empresas ou distribuidores de softwares, anúncios maliciosos, links promovidos em fóruns e redes sociais e aplicam técnicas de otimização para mecanismos de busca para manter os sites fraudulentos no topo dos resultados.
Como funciona o EvilAI
Os aplicativos têm interfaces, incluindo visuais e menus, que parecem programas de verdade, usam assinaturas digitais válidas — isso é como “selos de autenticidade” para software — para enganar sistemas de segurança, e usa, “empresas descartáveis” para emitir essas assinaturas, para que, se alguém desconfiar e cancelar a assinatura, eles simplesmente pulam para outra empresa.
O EvilAI funciona como um stager. Isto é, ele serve para garantir acesso inicial, estabelecer persistência e preparar o sistema para cargas extras. Ele ainda consegue identificar antivírus e softwares de segurança e dificultar a análise da invasão.
Quais dados ele pode explorar
Uma vez instalado, o programa aparenta funcionar – a vítima pode conseguir abrir um PDF e ver receitas – mas ao mesmo tempo ele está executando várias ações ocultas. O malware é capaz de investigar o sistema infectado para ver que software de segurança está instalado, quais arquivos existem, quais permissões ele tem.
Ele também pode roubar dados sensíveis, como senhas, histórico do navegador, credenciais, e conversar com servidores dos golpistas, enviando informações e aguardando comandos para fazer o que quiserem. Essa comunicação é criptografada para evitar que um antivírus ou analista intercepte. Além disso, o malware consegue manter-se “vivo” no sistema, mesmo após reinícios, para continuar operando por bastante tempo.
Outras empresas investigam a campanha
Outras empresas começaram a olhar de perto para a campanha — e cada uma foi puxando um fio diferente. A G DATA, por exemplo, percebeu que os mesmos criminosos estavam por trás de programas como OneStart, ManualFinder e AppSuite, todos compartilhando a mesma infraestrutura de servidores para espalhar os malwares.
Já a Expel notou outro detalhe curioso: os atacantes vinham usando pelo menos 26 certificados digitais de empresas no Panamá e na Malásia para dar aparência legítima aos softwares. Foi aí que batizaram esse malware de BaoLoader, destacando que ele tinha diferenças importantes em relação ao TamperedChef, principalmente no comportamento e nos certificados usados. Entre os disfarces mais comuns, estavam extensões de navegador e até proxies residenciais.
E é aqui que o caldo engrossa. A própria Expel explicou que o EvilAI é, na verdade, um guarda-chuva maior, dentro do qual se encaixam tanto o BaoLoader quanto outros malwares, sugerindo uma infraestrutura bem mais ampla do que parecia no início.
O TamperedChef, por sua vez, ganhou fama ao se passar por um simples app de receitas, mas na prática criava um canal secreto de comunicação com servidores remotos para roubar dados. Só que a TRUESEC resolveu bagunçar a linha do tempo. Para eles, o que chamamos de TamperedChef é, na realidade, o mesmo BaoLoader que a Expel havia identificado.
Enquanto isso, a Field Effect e a GuidePoint Security entraram em cena com mais peças do quebra-cabeça. Elas encontraram binários assinados digitalmente que se faziam passar por aplicativos de calendário e de visualização de imagens. Esses apps, na verdade, usavam o framework NeutralinoJS para executar códigos JavaScript, abrir portas escondidas no sistema e roubar informações sensíveis. E pior, muitos deles também implantavam o próprio TamperedChef.
O truque era sofisticado: com Unicode homoglyphs, os criminosos escondiam cargas maliciosas dentro de respostas aparentemente normais de APIs, enganando detecções automáticas.
No fim, a conclusão da Field Effect foi quase um plot twist. Havia tantos emissores de certificados diferentes envolvidos que o mais provável é que exista um mercado paralelo de certificados digitais ou até um fornecedor de malware como serviço, o que explicaria a escala da operação.
Para acompanhar mais notícias como essa, siga o TecMundo nas redes sociais. Se inscreva em nossa newsletter e em nosso canal do YouTube para saber mais sobre tecnologia e segurança.