Malwares se disfarçam de ferramentas de IA para infectar empresas

Um levantamento da empresa de segurança Trend Micro observou a exploração de ferramentas de inteligência artificial e softwares legítimos para infiltração de vírus em empresas, afetando desde as Américas, África, Ásia e Oriente Médio até a Europa. Os alvos principais são indústrias, agências governamentais, setor de saúde, tecnologia e vendas, com as principais infecções sendo, na ordem, na Índia, Estados Unidos, França, Itália, Brasil e Alemanha.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

O malware que desponta nos incidentes é chamado EvilAI, dando nome à campanha Trend Micro contra a tendência maliciosa. Um dos aspectos mais preocupantes é a habilidade dos vírus imitarem softwares autênticos, muitas vezes levando um programa que realmente funciona bem ao PC das vítimas, o que evita verificações e investigação, só passando a causar problemas depois. 

Imitação das IAs e infecções

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Entre os programas afetados pelos hackers estão AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister e Tampered Chef. Parte da campanha já havia sido descrita pelas firmas de segurança Expel, G Data e TRUESEC. Os golpistas chegam a usar até mesmo certificados verdadeiros vindos de empresas descartáveis, o que aumenta sua aparente confiabilidade.

O EvilAI costuma se disfarçar em ferramentas de produtividade ou com uso de IA, incluindo interface profissional e assinaturas digitais válidas. Uma vez no computador da vítima, são extraídos dados sensíveis do navegador, enviando tudo de maneira encriptada ao servidor dos hackers. Para esse reconhecimento, os programas são entregues por publicidades e sites de venda falsos, manipulação de SEO e downloads promovidos em fóruns e mídias sociais. 

Os aplicativos fingem ser jogos, ferramentas de busca de receitas, buscadores manuais e muito mais, também usando a palavra “IA”, atualmente em alta, para fisgar usuários. Os certificados descartáveis foram emitidos para empresas do Panamá e Malásia, com datas que chegam até 2018: esse longo tempo também ajuda a dar legitimidade aos softwares.

Segundo os pesquisadores, cada campanha têm seus objetivos, desenvolvedores e infraestrutura próprios, variando entre roubo de dados e criptomoedas à criação de botnets. Alguns malwares, como TamperedChef e BaoLoader, são backdoors que permitem acesso remoto dos hackers ao computador da vítima, facilitando o trânsito das informações roubadas.

Especialistas da Field Effect e GuidePoint Security chegaram a identificar binários que fingem ser aplicativos de calendário e visualizadores de imagem.

Com a popularização dos ataques, que chegam a usar JavaScript através do framework NeutralinoJS, e uso de certificados, acredita-se que existam provedores de malware-as-a-service ou mercados de assinatura de certificados se estabelecendo na dark web, o que facilita a atividade criminosa com menos conhecimento técnico e experiência e amplia golpes.

Confira também:

• Desmistificando o Doxxing: o que é, como funciona e como se proteger
• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• AGI | O que é inteligência artificial geral?

VÍDEO | MOD APK É SEGURO? | Dicas | #shorts

Fonte: Trend Micro, G Data, Expel, TRUESEC