Хакеры начали применять поддельные ИИ-приложения для распространения вредоносного ПО в США, России и ЕС

Атаки с использованием вредоносного программного обеспечения вновь обрели масштабный характер — на этот раз под прикрытием модных ИИ-инструментов. Аналитики компании Trend Micro зафиксировали активную кампанию, получившую наименование EvilAI. Распространение идёт через псевдолегальные программы, имитирующие сервисы искусственного интеллекта и утилиты повышения продуктивности. Злоумышленники ссылаются на привычные форматы ПО, подменяя подлинные решения вредоносными аналогами, а пользователи по неосторожности запускают заражённые пакеты.

По информации экспертов, атаки нацелены сразу на несколько континентов — заражения зафиксированы в странах Европы, Америки, Азии, а также в ближневосточном и африканском регионах. В числе наиболее пострадавших отраслей — промышленность, госсектор, медицина, цифровые сервисы и розничные сети. География широкая: от Индии и США до России, Германии, Испании, Казахстана. Масштабный охват и высокий уровень проникновения говорят о хорошо спланированной, живущей своей жизнью атакующей кампании, которую невозможно списать на случайность.

Команда аналитиков Trend Micro указала, что операторы EvilAI достигают высокой эффективности, потому что мастерски маскируют вредоносную деятельность под работу легальных программ. Среди заражённых приложений фигурируют AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister и Tampered Chef. Некоторые детали этой схемы были дополнительно исследованы компаниями Expel, G DATA и TRUESEC.

Сценарий заражения, как отмечают специалисты, выглядит весьма правдоподобно — визуально интерфейсы заражённых приложений ничем не отличаются от настоящих. Угроза становится менее заметной из-за действующих цифровых подписей, оформленных через однодневные компании. После отзыва старых сертификатов появляются новые — под новым юридическим именем, что позволяет злоумышленникам продолжать атаку с сохранением доверия пользователей.

Компания Trend Micro говорит, что приложения, замаскированные под ИИ-сервисы, демонстрируют внушительное внешнее оформление, имеют корректные цифровые подписи и сложные механизмы сокрытия своих вредоносных компонентов. Подлинность подделки вводит в заблуждение не только обычных пользователей, но и автоматизированные системы безопасности.

Конечная задача всей кампании — сбор закрытой информации, контроль трафика, кража данных из браузеров и налаживание стабильной связи с внешними C2-серверами. Связь шифруется через AES, что затрудняет отслеживание каналов передачи команд. При этом задействовано сразу несколько подходов к распространению: от SEO-манипуляций и рекламы до продвигаемых ссылок в соцсетях и форумах. Инфраструктура построена на основе поддельных сайтов, копирующих внешний вид страниц настоящих вендоров.