Các threat actor đã bị phát hiện sử dụng các công cụ và phần mềm trí tuệ nhân tạo (AI) tưởng chừng hợp pháp để lén lút cài đặt malware cho các cuộc tấn công trong tương lai vào các tổ chức trên toàn thế giới.
Theo Trend Micro, chiến dịch này đang sử dụng các công cụ năng suất hoặc được tăng cường AI để phát tán malware nhắm mục tiêu vào nhiều khu vực khác nhau, bao gồm Châu Âu, Châu Mỹ, và khu vực Châu Á, Trung Đông và Châu Phi (AMEA).
Sản xuất, chính phủ, chăm sóc sức khỏe, công nghệ và bán lẻ là một số lĩnh vực hàng đầu bị ảnh hưởng bởi các cuộc tấn công, với Ấn Độ, Hoa Kỳ, Pháp, Ý, Brazil, Đức, Vương quốc Anh, Na Uy, Tây Ban Nha và Canada nổi lên là những khu vực có nhiều lây nhiễm nhất, cho thấy sự lây lan toàn cầu.
"Sự phân tán nhanh chóng, rộng khắp trên nhiều khu vực này cho thấy mạnh mẽ rằng EvilAI không phải là một sự cố riêng lẻ mà là một chiến dịch đang hoạt động và phát triển, hiện đang lưu hành trong tự nhiên," các nhà nghiên cứu bảo mật Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio, Emmanuel Roll, Joshua Lijandro Tsang, Armando Nathaniel Pedragoza, Melvin Singwa, Mohammed Malubay và Marco Dela Vega cho biết.
Chiến dịch này đã được Trend Micro đặt tên mã là EvilAI, mô tả những kẻ tấn công đằng sau hoạt động này là "có năng lực cao" nhờ khả năng làm mờ ranh giới giữa phần mềm thật và phần mềm lừa đảo để phân phối malware và khả năng che giấu các tính năng độc hại của nó trong các ứng dụng có chức năng khác.
Một số chương trình được phân phối bằng phương pháp này bao gồm AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister và Tampered Chef. Một số khía cạnh của chiến dịch đã được ghi lại chi tiết bởi Expel, G DATA và TRUESEC vào tháng trước.
Điều đáng chú ý về chiến dịch này là mức độ mà những kẻ tấn công đã cố gắng để làm cho các ứng dụng này trông có vẻ thật và cuối cùng thực hiện một loạt các hoạt động độc hại ngầm sau khi cài đặt, mà không gây ra bất kỳ dấu hiệu đáng ngờ nào. Sự lừa đảo được tăng cường hơn nữa bằng cách sử dụng các signing certificate từ các công ty "dùng một lần", khi các chữ ký cũ hơn bị thu hồi.
"EvilAI ngụy trang thành các công cụ năng suất hoặc được tăng cường AI, với giao diện chuyên nghiệp và digital signatures hợp lệ, khiến người dùng và các công cụ bảo mật khó phân biệt nó với phần mềm hợp pháp," Trend Micro cho biết.
Mục tiêu cuối cùng của chiến dịch là thực hiện reconnaissance sâu rộng, exfiltrate dữ liệu trình duyệt nhạy cảm và duy trì giao tiếp được mã hóa, thời gian thực với các máy chủ command-and-control (C2) của nó bằng cách sử dụng các kênh mã hóa AES để nhận lệnh từ kẻ tấn công và triển khai các payload bổ sung.
Về cơ bản, nó sử dụng một số phương pháp lây lan, bao gồm sử dụng các trang web mới đăng ký mô phỏng cổng thông tin nhà cung cấp, malicious ads, SEO manipulation và các liên kết tải xuống được quảng cáo trên các diễn đàn và mạng xã hội.
Theo Trend Micro, EvilAI được sử dụng như một stager, chủ yếu hoạt động như một kênh để giành initial access, thiết lập persistence và chuẩn bị hệ thống bị nhiễm cho các payload bổ sung, đồng thời thực hiện các bước để liệt kê phần mềm bảo mật đã cài đặt và cản trở phân tích.
"Thay vì dựa vào các tệp tin rõ ràng là độc hại, những trojans này bắt chước giao diện của phần mềm thật để không bị phát hiện trong cả môi trường doanh nghiệp và cá nhân, thường xuyên giành quyền truy cập persistent trước khi gây ra bất kỳ nghi ngờ nào," công ty cho biết. "Cách tiếp cận hai mục đích này đảm bảo kỳ vọng của người dùng được đáp ứng, giảm thiểu hơn nữa khả năng bị nghi ngờ hoặc điều tra."
Phân tích sâu hơn của G DATA cũng xác định rằng các threat actor đằng sau OneStart, ManualFinder và AppSuite là cùng một nhóm và cơ sở hạ tầng máy chủ được chia sẻ để phân phối và cấu hình tất cả các chương trình này.
"Chúng đã bán malware ngụy trang dưới dạng trò chơi, ứng dụng công thức nấu ăn, công cụ tìm công thức, công cụ tìm hướng dẫn sử dụng, và gần đây là thêm từ khóa 'AI' để dụ dỗ người dùng," nhà nghiên cứu bảo mật Banu Ramakrishnan cho biết.
Expel cho biết các nhà phát triển đứng sau các chiến dịch AppSuite và PDF Editor đã sử dụng ít nhất 26 code-signing certificate được cấp cho các công ty ở Panama và Malaysia, cùng nhiều nơi khác, trong bảy năm qua để làm cho phần mềm của chúng có vẻ hợp pháp.
Công ty an ninh mạng này đang theo dõi malware được ký bằng các certificate này dưới tên BaoLoader, cho biết nó khác với TamperedChef, trích dẫn sự khác biệt về hành vi và các mẫu certificate.
Điều đáng chú ý là tên TamperedChef lần đầu tiên được gán cho một ứng dụng công thức độc hại được cấu hình để thiết lập một kênh giao tiếp lén lút với một máy chủ từ xa và nhận các lệnh tạo điều kiện cho việc đánh cắp dữ liệu.
"TamperedChef đã sử dụng các code-signing certificate được cấp cho các công ty ở Ukraine và Great Britain trong khi BaoLoader nhất quán sử dụng các certificate từ Panama và Malaysia," công ty chỉ ra.
Và đó chưa phải là tất cả. Field Effect và GuidePoint Security kể từ đó đã phát hiện thêm nhiều binary được digital signed ngụy trang thành các công cụ lịch và trình xem ảnh, và sử dụng framework NeutralinoJS desktop để thực thi mã JavaScript tùy ý và siphon dữ liệu nhạy cảm.
"Việc sử dụng NeutralinoJS để thực thi JavaScript payloads và tương tác với native system APIs đã cho phép truy cập hệ thống tệp tin bí mật, process spawning và giao tiếp mạng," Field Effect cho biết. "Việc malware sử dụng Unicode homoglyphs để encode payloads trong các API response tưởng chừng vô hại đã cho phép nó vượt qua string-based detection và signature matching."
Công ty an ninh mạng Canada cho biết sự hiện diện của nhiều code-signing publisher trên nhiều mẫu khác nhau cho thấy đây có thể là một nhà cung cấp malware-as-a-service chung hoặc một thị trường code-signing tạo điều kiện phân phối rộng rãi.
"Chiến dịch TamperedChef minh họa cách các threat actor đang phát triển cơ chế phân phối của họ bằng cách vũ khí hóa các ứng dụng không mong muốn tiềm năng (potentially unwanted applications), lạm dụng digital code signing và triển khai các kỹ thuật mã hóa bí mật," họ cho biết. "Những chiến thuật này cho phép malware ngụy trang thành phần mềm hợp pháp, bỏ qua các biện pháp phòng thủ endpoint và khai thác lòng tin của người dùng."
