EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas
Para peneliti keamanan siber memperingatkan tentang kampanye malware global yang menggunakan alat-alat kecerdasan buatan (AI) dan perangkat lunak produktivitas palsu untuk menyusup ke sistem organisasi di seluruh dunia. Berdasarkan laporan Trend Micro, kampanye ini menargetkan berbagai wilayah, termasuk Eropa, Amerika, serta kawasan Asia, Timur Tengah, dan Afrika (AMEA), dengan sektor manufaktur, pemerintahan, kesehatan, teknologi, dan ritel menjadi yang paling terdampak. Negara-negara seperti India, Amerika Serikat, Prancis, Italia, Brasil, Jerman, Inggris, Norwegia, Spanyol, dan Kanada mencatat infeksi terbanyak, menunjukkan bahwa ancaman ini bersifat global.
Kampanye ini, yang diberi kode nama EvilAI oleh Trend Micro, menandai kemampuan luar biasa para aktor ancaman dalam mengaburkan garis antara perangkat lunak asli dan palsu. Malware ini disisipkan dalam aplikasi yang tampak sah seperti AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister, dan Tampered Chef. Menurut para peneliti, serangan ini menggunakan sertifikat digital dari perusahaan sementara untuk membuat aplikasi terlihat resmi, bahkan ketika sertifikat lama sudah dicabut, sehingga sulit terdeteksi oleh pengguna maupun sistem keamanan.
Tujuan akhir dari kampanye EvilAI adalah melakukan rekognisi mendalam, mengekstraksi data browser sensitif, serta menjaga komunikasi terenkripsi waktu nyata dengan server command-and-control (C2). Malware ini memanfaatkan berbagai metode propagasi, termasuk situs web yang meniru portal vendor, iklan berbahaya, manipulasi SEO, dan tautan unduhan yang dipromosikan di forum maupun media sosial. Fungsi utamanya adalah sebagai stager, memungkinkan akses awal, mempertahankan keberadaan di sistem yang terinfeksi, dan menyiapkan sistem untuk muatan tambahan, sambil memetakan perangkat lunak keamanan yang terpasang.
Lebih lanjut, analisis G DATA menunjukkan bahwa pengembang di balik OneStart, ManualFinder, dan AppSuite menggunakan infrastruktur server yang sama untuk mendistribusikan dan mengonfigurasi program-program ini. Malware seperti BaoLoader, yang dipakai sebagai komponen utama kampanye ini, berperan sebagai backdoor untuk mengeksekusi perintah apa pun pada sistem yang terinfeksi, sering kali digunakan untuk penipuan iklan. Sementara itu, TamperedChef awalnya dikenal sebagai aplikasi resep yang tampak aman, namun sebenarnya menjalankan fungsionalitas backdoor yang sama.
Eksploitasi malware ini memanfaatkan kerangka NeutralinoJS untuk mengeksekusi kode JavaScript secara tersembunyi, memungkinkan akses ke sistem berkas, proses, dan komunikasi jaringan tanpa terdeteksi. Teknik lain termasuk penggunaan Unicode homoglyphs untuk menyembunyikan payload dalam respons API yang tampak sah, mempersulit pendeteksian berbasis string atau signature. Keberadaan beberapa penerbit sertifikat digital di berbagai sampel menunjukkan kemungkinan adanya malware-as-a-service atau pasar sertifikat digital yang memfasilitasi distribusi skala besar.
EvilAI menjadi peringatan nyata tentang evolusi metode distribusi malware modern. Penyalahgunaan aplikasi yang tampak sah, kode digital yang resmi, dan teknik penyamaran canggih memungkinkan malware ini melewati pertahanan titik akhir, mengeksploitasi kepercayaan pengguna, dan menyusup ke jaringan organisasi tanpa disadari. Para profesional keamanan menekankan pentingnya deteksi dini, validasi sertifikat, serta pemantauan perilaku aplikasi untuk mencegah kerugian finansial, reputasi, dan kebocoran data yang luas.