Siber telli taktiklerde önemli bir evrimi işaretleyerek aldatıcı bir şekilde meşru uygulamalar oluşturmak için yapay zekadan yararlanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Evilai kötü amaçlı yazılım ailesi, eşi görülmemiş bir gizli seviyeyi korurken, dünya çapında sistemlere sızmak için AI tarafından oluşturulan kodu geleneksel Truva teknikleriyle birleştiren yeni bir tehdit türünü temsil ediyor.
Kötü amaçlı yazılım, profesyonel arayüzler, geçerli dijital imzalar ve reklamı yapılan amaçlarıyla uyumlu işlevsel özelliklerle birlikte verimlilik ve AI-arttırılmış araçlar olarak gizlenerek çalışır.
“Reçete Lister”, “Manuel Bulucu” ve “PDF Editör” gibi uygulamalar, aynı anda arka planda kötü amaçlı yükler yürütürken kullanıcılara gerçek bir yardımcı program sağlar.
Bu çift amaçlı yaklaşım, kullanıcı şüphesini önemli ölçüde azaltır ve kötü amaçlı yazılımın tespitten önce kalıcılık oluşturmasını sağlar.
Küresel telemetri verileri, birden fazla kıtayı kapsayan ve üretim, devlet hizmetleri ve sağlık hizmetleri de dahil olmak üzere kritik sektörleri etkileyen enfeksiyonlarla kampanyanın kapsamlı erişimini ortaya koymaktadır.
Avrupa, 56 olayı olan en yüksek vaka konsantrasyonunu bildirmiştir, bunu her biri 29 vaka ile Amerika ve AMEA bölgeleri izlemiştir.
İzlenmenin sadece bir haftası içindeki hızlı coğrafi dağılım aktif ve genişleyen bir tehdit manzarasını gösterir.
Trend mikro araştırmacıları, Evilai’nin statik analiz araçları için temiz ve meşru görünen AI tarafından oluşturulan kodla birleştirilmiş sofistike sosyal mühendislik taktikleri kullandığını belirledi.
Tehdit aktörleri, mevcut yazılım markalarını taklit etmek yerine tamamen yeni uygulamalar yaratıyor ve tespiti geleneksel güvenlik çözümleri için çok daha zor hale getiriyor.
Gelişmiş enfeksiyon ve kalıcılık mekanizmaları
Kötü amaçlı yazılım enfeksiyon zinciri, kullanıcılar görünüşte meşru uygulamalar başlattığında başlar ve kullanıcı görünürlüğünden gizlenmiş olan gizli bir node.js yürütme işlemini tetikler.
.webp)
Saldırı, Windows komut satırı üzerinden Node.exe’yi sessizce başlatan ve geçici dizinlerde depolanan JavaScript yüklerini yürüten dikkatle düzenlenmiş bir komut sırasını kullanır.
Kalıcılık mekanizması, birden fazla gereksiz yöntemle dikkate değer bir gelişmişlik göstermektedir.
Evilai, meşru pencereler olarak maskelenen, günlük 10: 51’de tetiklenen ve dört saatte bir tekrarlayan “Sys_component_health_ {uid}” adlı planlanmış görevler oluşturur. Uygulama aşağıdaki komut yapısını kullanır:
schtasks /Create /TN "sys_component_health_{UID}" /TR "\"C:\Windows\system32\cmd[.]exe\" /c start \"\" /min \"%^LOCALAPPDATA^%\Programs\nodejs\node[.]exe\" \"%^LOCALAPPDATA^%\TEMP\{UID}or[.]js\"" /SC DAILY /ST 10:51 /RI 240 /DU 24:00 /FAyrıca, kötü amaçlı yazılım, Windows Run anahtarında kayıt defteri girişleri oluşturur ve meşru yazılım kurulumunun yanılsamasını korumak için başlangıç menüsü kısayolları oluştururken kullanıcı oturumunda yürütülmesini sağlar.
JavaScript dosyaları, “OR,” “RO” veya “OF” gibi karakterlerle biten GUID ekleri ile adlandırma modellerini sürekli olarak izler.
Evilai’nin tespit kaçınma yetenekleri, murmurhash3 32 bit karma kullanarak anti-analiz döngülerinin uygulanmasıyla geleneksel şaşkınlığın ötesine uzanır.
Bu döngüler, statik analiz araçlarına potansiyel olarak sonsuz yürütme döngülerinin görünümünü oluştururken, aslında yalnızca bir kez yürütür ve analistleri statik kod incelemesinden ziyade dinamik analiz yöntemlerine güvenmeye zorlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.