In un’era in cui l’intelligenza artificiale è sulla bocca di tutti, alcuni attaccanti l’hanno trasformata in maschera perfetta per infilare malware nel cuore delle aziende. Il nome di questa campagna? EvilAI. Il trucco è semplice, subdolo: software che sembrano strumenti produttivi o arricchiti dall’IA, ma che in realtà contengono codice nascosto pronto a compromettere il sistema.
Dietro la cortina: come viene distribuito
Le vittime ricevono applicazioni che sembrano innocue — gestori PDF, tool collaborativi, browser “potenziati”, app per ricette e altro. Tutto con un’interfaccia curata e certificati digitali apparentemente legittimi. Ma sotto la superficie, il software avvia attività malevole: esfiltrazione dati, ricognizione interna, collegamento cifrato con server di comando remoto.
I certificati digitali usati per “firmare” questi programmi vengono spesso generati da aziende fantasma o privi di storia rilevante, in modo da non destare sospetti, e i firmatari originali vengono revocati in una fase successiva, confondendo ulteriormente le tracce.
Obiettivi e modalità operative
EvilAI funziona come un stager iniziale: entra nel sistema, stabilisce persistenza, valuta la presenza di software di sicurezza e prepara l’ambiente per ulteriori payload. Non è l’obiettivo finale, ma la porta d’accesso all’attacco vero e proprio.
Le modalità di diffusione includono:
- Siti web appena creati che imitano portali legittimi di vendor
- Pubblicità malevole (malvertising)
- Manipolazione SEO per spingere download sospetti
- Link promossi su forum e social network
Una cosa fondamentale: EvilAI non punta a operazioni rumorose, ma a restare latente e passare inosservato il più a lungo possibile, per raccogliere dati preziosi.
Cosa lo rende pericoloso
- Apparenza “pulita”: interfacce credibili, comportamenti prosociali (anche reali) che non destano subito sospetti
- Firma digitale valida che inganna gli antivirus e i controlli automatici
- Uso di framework come NeutralinoJS per eseguire codice JavaScript “ibrido”, che interagisce con API locali e gestisce richieste di rete, spostandosi sotto traccia
- Tecniche di offuscamento usando caratteri simili (omoglyph) per ingannare le rilevazioni basate su stringhe
Chi è nel mirino
L’operazione colpisce aziende in settori diversificati: manifatturiero, sanità, tecnologia, governo, retail. I paesi più citati includono Stati Uniti, Francia, Italia, Germania, Brasile, India, Regno Unito, Spagna, Norvegia e Canada. Questa ampiezza suggerisce che l’infrastruttura dietro EvilAI è già molto avanzata e diffusiva.
Cosa possiamo fare per difenderci
- Verifica scrupolosa: anche se un’app sembra legittima e ben firmata, controlla la reputazione del certificato e dell’editore
- Politiche restrittive sui download da fonti sconosciute
- Monitoraggio comportamentale: strumenti che analizzano il comportamento dei processi, non solo la firma del file
- Segmentazione della rete e privilegi minimi per limitare i danni da compromessi
- Formazione degli utenti: diffidenza verso tool “miracolosi” che promettono “potenziamenti AI”
Considerazioni finali
EvilAI è un segnale chiaro che i confini tra attacco e strumento stanno diventando sempre più sfumati. Invece di attaccare con metodi grezzi, i cybercriminali scelgono la via dell’inganno, mimetizzando malware dietro software credibili. La vera difesa non è solo più tecnologia, ma attenzione, verifica e sistemi in grado di ragionare non solo sul “cosa appare”, ma su “cosa fa”. Personalmente penso che, in futuro, i migliori sistemi di sicurezza saranno quelli che interpretano il comportamento nascosto dietro interfacce apparentemente innocue.
Fonte: The Hackers News
