Trend Micro tarafından rapor edilen EvilAI kampanyası, Avrupa, Amerika, Asya, Orta Doğu ve Afrika (AMEA) bölgelerinde üretkenlik ve yapay zeka destekli araçlar maskesi altında zararlı yazılımlar dağıtıyor. Üretim, hükümet, sağlık, teknoloji ve perakende sektörleri hedef alınırken, Hindistan, ABD, Fransa, İtalya, Brezilya, Almanya, İngiltere, Norveç, İspanya ve Kanada en çok enfeksiyonun görüldüğü ülkeler olarak öne çıkıyor.
Kampanyanın Teknik Özellikleri ve Yayılım Yöntemleri
Güvenlik araştırmacıları, EvilAI’nin yalnızca izole bir olay olmadığını, aktif ve gelişmekte olan bir tehdit kampanyası olduğunu belirtiyor. Kampanya kapsamında AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister ve Tampered Chef gibi uygulamalar kullanılıyor. Bu uygulamalar, gerçek yazılımlar gibi görünmekle kalmayıp, arka planda kötü amaçlı faaliyetleri şüphe uyandırmadan sürdürüyor. Ayrıca, eski imzalar iptal edildiği için geçici şirketlerden alınan kod imzalama sertifikaları ile dijital imzalar kullanılarak aldatmaca güçlendiriliyor.
Hassas Verilerin Çalınması ve Komut-Kontrol İletişimi
Kampanyanın nihai hedefi, kapsamlı keşif yapmak, hassas tarayıcı verilerini dışarı aktarmak ve AES şifreli kanallar üzerinden komut-alma ve ek yük dağıtımı için komut ve kontrol (C2) sunucularıyla gerçek zamanlı, şifreli iletişim kurmak. Yayılım yöntemleri arasında satıcı portallarını taklit eden web siteleri, kötü amaçlı reklamlar, SEO manipülasyonu ve sosyal medya üzerinden paylaşılan indirme bağlantıları bulunuyor.
BaoLoader ve TamperedChef Bağlantıları
Expel, G DATA ve TRUESEC tarafından yapılan analizler, EvilAI kampanyasının BaoLoader adlı arka kapı zararlısını kullandığını ve TamperedChef zararlısının da bu altyapıya bağlı olduğunu ortaya koydu. BaoLoader, özellikle reklam dolandırıcılığı amacıyla kullanılıyor ve zararlının arkasındaki aktörler, meşru yazılımlar için bağlı dağıtıcı rolü üstlenirken arka kapı işlevi görüyor. TamperedChef ise uzak sunucularla gizli iletişim kurup veri hırsızlığı yapabilen kötü amaçlı bir tarif uygulaması olarak tanımlanıyor.
Gelişmiş Kodlama Teknikleri ve Dijital İmzalama Kötüye Kullanımı
Field Effect ve GuidePoint Security, NeutralinoJS masaüstü çerçevesini kullanan ve rastgele JavaScript kodu çalıştıran dijital olarak imzalanmış ikili dosyalar keşfetti. Bu zararlılar, gizli dosya sistemi erişimi, süreç oluşturma ve ağ iletişimi sağlıyor. Unicode homoglifleri kullanarak zararlı yükleri kodlama yöntemi, tespit ve imza eşlemesini atlatmayı mümkün kılıyor. Ayrıca, birden fazla kod imzalama yayıncısının kullanılması, ortak bir zararlı yazılım hizmet sağlayıcısı veya kod imzalama pazarının varlığına işaret ediyor.
Trend Micro, EvilAI’nin profesyonel görünümlü arayüzler ve geçerli dijital imzalarla kendini gizleyerek hem kullanıcıların hem de güvenlik araçlarının gerçek yazılımdan ayırt etmesini zorlaştırdığını vurguluyor. Bu durum, kurumsal ve kişisel ortamlarda fark edilmeden kalıcı erişim sağlanmasına olanak tanıyor.