EvilAI恶意软件:利用AI生成代码和虚假应用的全球攻击活动

本文详细分析了EvilAI恶意软件活动,该活动利用AI生成的代码和伪装成合法应用的虚假软件进行全球攻击,涉及Node.js恶意载荷、持久化机制、浏览器凭证窃取和AES加密通信等技术细节。

关键要点

  • EvilAI伪装成生产力或AI增强工具,具有专业外观界面和有效数字签名,使用户和安全工具难以区分其与合法软件
  • 根据遥测数据,EvilAI感染已出现在全球范围,在欧洲、美洲和AMEA地区影响最为严重
  • 该恶意软件主要影响制造业、政府/公共服务和医疗保健行业的组织
  • 它窃取敏感浏览器数据,并通过AES加密通道与命令控制服务器保持实时通信
  • Trend Vision One™通过检测和阻止本文所述的IOC来防范EvilAI

受害者分析:全球活动的早期迹象

尽管内部遥测数据收集始于8月29日,但仅一周的监控就揭示了EvilAI恶意软件的侵略性快速传播。趋势科技威胁情报数据显示,EvilAI检测呈全球分布:

受影响地区分布:

  • 欧洲:56起事件
  • 美洲:29起事件
  • AMEA地区:29起事件

受影响国家前十:

  • 印度:74起
  • 美国:68起
  • 法国:58起
  • 意大利:31起
  • 巴西:26起
  • 德国:23起
  • 英国:14起
  • 挪威:10起
  • 西班牙:10起
  • 加拿大:8起

受影响行业分布:

  • 制造业:58起
  • 政府:51起
  • 医疗保健:48起
  • 科技:43起
  • 零售:31起

技术细节

伪装成合法软件的木马

EvilAI使用的常见且高效 evasion 战术是让恶意软件在各个层面都显得合法:

  • 使用合理、有目的性的文件名:App Suite、Epi Browser、JustAskJacky、Manual Finder等
  • 通过新注册的模仿供应商门户的网站分发
  • 使用恶意广告、SEO操纵和社交媒体推广下载链接
  • 提供基本功能以消除用户怀疑

高保真软件界面模仿

攻击者滥用数字签名和可信证书增强可信度,观察到的数字签名包括:

  • App Interplace LLC
  • Byte Media Sdn Bhd
  • Echo Infini Sdn. Bhd.
  • 等新兴实体(注册日期在2024-2025年)

AI用于防御规避

攻击者利用LLM创建看起来干净、正常的恶意代码,不像传统样本那样容易被静态扫描器检测。JustAskJacky恶意软件利用AI生成乍看合法的代码,使检测更加困难。

感染流程

Node.js恶意载荷投放

应用程序触发通过Windows命令行静默启动Node.js的命令:

1

cmd.exe /c start "" /min "C:\Users\<user>\AppData\Roaming\NodeJs\node.exe" "C:\Users\<user>\AppData\Local\TEMP\[GUID]of.js"

JavaScript文件通常以GUID后缀命名,以"or"、“ro"或"of"结尾。

持久化机制

恶意软件通过创建名为sys_component_health_{UID}的计划任务建立持久化:

1

schtasks /Create /TN "sys_component_health_{UID}" /TR ...

该任务每天在10:51 AM触发,每4小时重复一次。

其他持久化方法包括:

  • 在开始菜单程序文件夹创建快捷方式文件
  • 在Windows注册表Run键添加条目

系统侦察技术

  • 使用WMI枚举Microsoft Edge或Google Chrome进程
  • 通过注册表查询枚举已安装软件(主要是安全产品)
  • 强制终止浏览器进程以释放文件进行凭据窃取

浏览器凭据数据窃取

攻击者创建浏览器配置文件的"Web Data"和"Preferences"文件副本,添加"Sync"后缀存储在相同目录路径中。

恶意JavaScript文件分析

混淆技术

  • 控制流扁平化
  • Unicode转义序列编码函数名和字符串
  • 无意义变量名
  • 自清理技术

反分析循环

  • 使用MurmurHash3 32位哈希生成不可预测的控制流条件
  • 创建看似无限循环的结构
  • 双哈希验证层增加分析复杂性

网络通信配置

DEFAULT_CONFIG部分包含与C&C基础设施通信的基本参数:

  • domain:C&C服务器端点
  • iid:唯一实例标识符,也用作加密密钥
  • progress:JSON载荷中的附加标识符
  • version:通过URL发送的恶意软件构建版本

后门命令

EvilAI的后门操作由中央命令处理功能驱动,处理来自C&C服务器的解密JSON载荷:

文件下载机制

  • 低级HTTPS助手处理单个网络操作
  • 高级命令处理器管理多个下载

注册表操作

  • 注册表操作分发器处理来自C&C服务器的命令数组
  • 支持添加和删除操作

进程执行

  • 使用Node.js child_process.exec执行任意系统命令
  • 以分离模式运行以确保隐蔽性

文件写入操作

  • 处理文件写入命令数组
  • 扩展Windows环境变量
  • 解码十六进制编码数据写入文件系统

防御策略

趋势科技推荐以下防御策略:

  1. 仅从可信来源下载软件
  2. 利用高级安全解决方案
  3. 保持系统和应用程序更新
  4. 教育用户识别社会工程攻击
  5. 监控可疑行为
  6. 采用分层安全方法
  7. 怀疑泄露时立即更新凭据

结论

EvilAI主要用作stager,其作用是获得初始访问权限、建立持久化并为感染系统准备额外载荷。基于行为模式,研究人员怀疑在后续阶段部署了次级信息窃取组件,但确切性质和能力仍未被发现。

AI驱动的恶意软件如EvilAI突显了威胁格局的更广泛转变。AI不再只是防御者的工具,现在正被威胁行为者武器化,以生产比以往更智能、更隐蔽、更具扩展性的恶意软件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次