Trend ™ Research tarafından izlenen yeni bir kötü amaçlı yazılım ailesi olan Evilai, son haftalarda meşru AI odaklı kamu hizmetleri olarak gizlendi.
Bu Truva atları, profesyonel kullanıcı arayüzleri, geçerli kod imzaları ve işlevsel özellikler sporu yaparak hem kurumsal hem de kişisel savunmaların yanından geçmelerini sağlıyor.
Hafif montajcılar ve AI tarafından oluşturulan koddan yararlanan Evilai, üretkenlik veya AI-Assist uygulamalar olarak maskelenirken hızla kalıcı tabanlar oluşturur.
Trend ™ araştırması 29 Ağustos’ta Evilai’yi izlemeye başladı ve sadece bir hafta içinde küresel bir enfeksiyon dalgasını belgeledi. Avrupa, bildirilen 56 olayla liderlik ediyor, bunu Amerika ve AMEA bölgesinde 29’u takip ediyor (Tablo 1).
En çok etkilenen ülkeler arasında Hindistan (74), ABD (68) ve Fransa (58) bulunmaktadır. Bu geniş ayak izi, Evilai’nin ayrım gözetmeyen hedefleme ve sofistike dağıtım taktiklerini vurgulayarak kampanyanın arkasında iyi kaynaklanmış bir tehdit oyuncusu olduğunu gösteriyor.
Tablo 1. Evilai tespitlerinin üst bölgeleri
| Bölge | Saymak |
|---|---|
| Avrupa | 56 |
| Amerika | 29 |
| AMEA | 29 |
Tablo 2. Evilai tespitleri ile en iyi ülkeler
| Ülke | Saymak |
|---|---|
| Hindistan | 74 |
| Amerika Birleşik Devletleri | 68 |
| Fransa | 58 |
| İtalya | 31 |
| Brezilya | 26 |
| Almanya | 23 |
| Birleşik Krallık | 14 |
| Norveç | 10 |
| İspanya | 10 |
| Kanada | 8 |
Tablo 3. Evilai Tespitleri ile En İyi Endüstriler
| Sanayi | Saymak |
|---|---|
| Üretme | 58 |
| Devlet | 51 |
| Sağlık hizmeti | 48 |
| Teknoloji | 43 |
| Perakende | 31 |
| Eğitim | 27 |
| Finansal hizmetler | 22 |
| Yapı | 20 |
| Kar amacı gütmeyen | 19 |
| Kamu hizmetleri | 9 |
Truva Masquerade ve Kalıcılık
Evilai montajcıları, şüpheyi azaltmak için bilinen markaların doğrudan taklitten kaçınmak için App Suite, PDF editörü ve Justaskjacky gibi jenerik ama makul isimleri benimser.
Dağıtım, yeni kayıtlı parodi alanları, kötü niyetli reklamlar ve manipüle edilmiş forum bağlantıları aracılığıyla gerçekleşir.
Başlatıldıktan sonra, uygulamalar bir Node.js tabanlı yükü sessizce dağıtarken gerçek işlevsellik – belge işleme, tarif yönetimi veya AI sohbeti – sunar.
Yükleyici, sıcaklık dizinine gizlenmiş bir JavaScript dosyasını (GUID tabanlı bir ad eki ile) bırakır ve en aza indirilmiş bir şekilde başlatır node.exe işlem.
Kalıcılık birden çok mekanizma ile elde edilir: sistem bileşeni olarak gizlenmiş planlanmış bir Windows görevi, başlangıç menüsünde bir kısayol ve bir çalışma anahtarı kayıt defteri girişi.
Planlanan görev, adlandırılmış sys_component_health_{UID}kötü amaçlı yazılımları dört saatte bir yürütürken, çalışma anahtarı oturum açmada yürütmeyi sağlar. Bu çok yönlü yaklaşım, Evilai’nin yeniden başlatma ve kullanıcı oturumlarında hayatta kalmasını garanti ediyor.
Evilai’nin kod tabanı, statik imza tarayıcılarından kaçan temiz, modüler JavaScript üreten büyük dil modelleriyle oluşturulur.
Karmaşık şaşkınlık-murmurhash3 döngüleri ve unicode kodlu dizelerle kontrol akışı düzleştirme-Thwarts analizi.
Kötü amaçlı yazılım, meşru bir Windows sürecine benzemek için gizlenmiş, SYS_COMPONENT_HEALTH_ {UID} adlı planlanmış bir görev oluşturarak kalıcılık oluşturur.
Kötü amaçlı yazılım, çalışma krom ve kenar işlemlerini algılamak için WMI ve kayıt defteri sorgularını daha da kullanır, daha sonra onları kimlik hırsızlığı için serbest tutamaçlara zorla sonlandırır.
Hassas Tarayıcı Veri Dosyaları –Web Data Ve Preferences– Orijinal profil yollarındaki “senkronizasyon” sonucularla kopyalanır. Bu kopyalar daha sonra komut ve kontrol (C&C) sunucusuna şifrelenmiş HTTPS yayınları yoluyla açıklanır.
C&C iletişimi, benzersiz bir örnek kimliğinden türetilen bir oturum anahtarıyla AES-256-CBC şifrelemesini kullanır. Kötü amaçlı yazılım, dinamik yük dağıtımını, kayıt defteri değişikliklerini ve uzaktan işlem yürütmesini sağlayarak sunucuyu komutlar için sürekli olarak anket yapar.
Evilai’ye karşı savunmak
Savunucular titiz siber hijyeni gelişmiş, AI-bilen korumalarla birleştirmelidir. Yazılım yüklemeleri için yalnızca güvenilir kaynaklar kullanılmalıdır ve kod imzalama sertifikaları, yeni kurulmuş kuruluşlardan bile, incelemeyi garanti eder.
Davranışsal analitik ve gerçek zamanlı izleme anormal node.js lansmanları, beklenmedik planlanmış görevler ve şüpheli kayıt defteri yazabilir.
Kullanıcı eğitimi, cilalı arayüzlerin ve geçerli imzaların güvenliği garanti etmediğini vurgulamalıdır.
Son olarak, katmanlı savunmalar-son nokta tespiti ve yanıt, ağ trafiği analizi ve anomali tespiti-AI güdümlü inovasyon yoluyla gelişen tehditlere karşı koymak için gereklidir.
Yapay zeka silahlandırıldıkça, Evilai gibi kötü amaçlı yazılım aileleri meşru ve kötü amaçlı yazılımlar arasındaki çizgiyi bulanıklaştıracak.
Uyarlanabilir, istihbarat odaklı güvenlik duruşlarını benimseyen kuruluşlar, veri açığa çıkmadan önce bu sofistike kampanyaları tespit etmek ve bozmak için en iyi konumlandırılacaktır ve kalıcı ihlaller gerçekleşir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.