16/09/25
Такой подход позволяет им обходить защиту как на корпоративных системах, так и на домашних устройствах. Аналитики компании начали отслеживать угрозу 29 августа и уже через неделю отметили масштабную волну атак. Больше всего случаев выявлено в Европе — 56, на втором месте регионы Америки и AMEA — по 29. По странам лидирует Индия с 74 инцидентами, за ней следуют США с 68 и Франция с 58. В списке пострадавших также оказались Италия, Бразилия, Германия, Великобритания, Норвегия, Испания и Канада. Об этом пишет Securitylab.
Сектора, на которые пришёлся основной удар, включают производство, государственные структуры, медицину, сферу технологий и розничную торговлю. Особенно сильное распространение зафиксировано среди предприятий промышленности — 58 заражений, а также в органах власти и здравоохранении, где насчитывается соответственно 51 и 48 случаев.
Распространение EvilAI идёт через свежезарегистрированные поддельные домены, вредоносную рекламу и ссылки на форумах. Инсталляторы используют нейтральные, но правдоподобные названия вроде App Suite, PDF Editor или JustAskJacky, что снижает подозрения.
Запускаясь, такие приложения предлагают реальные функции — от обработки документов до рецептов и чата на базе ИИ, — но одновременно внедряют скрытый загрузчик на Node.js . Он размещает в папке Temp обфусцированный JavaScript с уникальным идентификатором в имени и запускает его через минимизированный процесс node.exe.
Закрепление в системе обеспечивается сразу несколькими способами: создаётся задача планировщика Windows под видом системного компонента с именем sys_component_health_{UID}, добавляется ярлык в меню «Пуск» и ключ автозагрузки в реестре. Задача срабатывает каждые четыре часа, а реестр гарантирует активацию при входе в систему.
Такой многоуровневый подход делает удаление угрозы особенно трудоёмким. Весь код создаётся при помощи языковых моделей, что позволяет получать чистую, модульную структуру и обходить статические сигнатурные анализаторы. Дополнительную защиту даёт сложная обфускация: выравнивание управляющего потока с циклами на базе MurmurHash3 и строками, закодированными в Unicode.
Для кражи данных EvilAI использует Windows Management Instrumentation и обращения к реестру, чтобы определить активные процессы Chrome и Edge . После этого они принудительно завершаются, чтобы разблокировать файлы учётных данных. Браузерные конфигурации «Web Data» и «Preferences» копируются с суффиксом Sync в изначальных каталогах профиля, после чего похищаются через HTTPS POST-запросы.
Канал связи с управляющим сервером шифруется алгоритмом AES-256-CBC с ключом, сгенерированным на основе уникального ID заражения. Заражённые машины регулярно опрашивают сервер, получая команды для загрузки дополнительных модулей, изменения параметров реестра или запуска удалённых процессов.
Эксперты советуют организациям полагаться не только на цифровые подписи и внешний вид приложений, а проверять источники дистрибутивов и быть особенно осторожными с программами от новых издателей. Защиту способны обеспечить поведенческие механизмы, фиксирующие неожиданные запуски Node.js, подозрительные задачи планировщика или записи в автозагрузке.
Важным фактором остаётся и обучение сотрудников: пользователи должны понимать, что аккуратный интерфейс не гарантирует безопасность. Только многоуровневая защита с применением средств обнаружения на конечных точках, анализом сетевого трафика и выявлением аномалий позволит вовремя остановить злоумышленников и не допустить масштабных утечек.
