Evilai

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

Um estudo da Trend Micro revelou que malwares estão se disfarçando como ferramentas de inteligência artificial para infectar empresas em diversas regiões do mundo, incluindo Brasil, Estados Unidos, França e Índia. O malware mais destacado na pesquisa é o EvilAI, que imita softwares legítimos, dificultando a detecção por parte dos usuários. Os alvos principais incluem indústrias, agências governamentais e setores de saúde e tecnologia. Os hackers utilizam certificados válidos de empresas descartáveis para aumentar a credibilidade dos programas maliciosos. Uma vez instalados, esses malwares conseguem extrair dados sensíveis dos navegadores das vítimas e enviá-los para servidores controlados pelos criminosos. A distribuição ocorre por meio de anúncios falsos, sites de venda fraudulentos e manipulação de SEO. A situação é alarmante, pois a popularidade das ferramentas de IA está sendo explorada para enganar usuários, e a criação de mercados de malware na dark web facilita ainda mais esses ataques. Especialistas alertam que a tendência pode se intensificar, exigindo atenção redobrada das empresas em relação à segurança cibernética.

Uma nova campanha de malware, denominada EvilAI, está utilizando ferramentas de inteligência artificial (IA) aparentemente legítimas para infiltrar malware em organizações ao redor do mundo. De acordo com a Trend Micro, os ataques têm como alvo setores como manufatura, governo, saúde, tecnologia e varejo, afetando países como Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá. Os atacantes se destacam por sua habilidade em disfarçar software malicioso como aplicativos de produtividade, utilizando interfaces profissionais e assinaturas digitais válidas, dificultando a identificação por usuários e ferramentas de segurança.

Desde o final de agosto de 2025, a Trend™ Research identificou um aumento global de malware disfarçado como aplicações legítimas de IA e produtividade, denominado EvilAI. Este malware utiliza trojans que se apresentam com interfaces realistas e funcionalidades válidas, permitindo a infiltração em sistemas corporativos e pessoais sem levantar suspeitas. Os instaladores do EvilAI são nomeados com termos genéricos, como ‘App Suite’ e ‘PDF Editor’, e, após a instalação, executam um payload JavaScript malicioso em segundo plano. Para garantir a persistência, o malware cria tarefas agendadas e entradas no registro do Windows, permitindo sua reexecução mesmo após reinicializações.