【安全资讯】EvilAI操作者利用AI生成代码和虚假应用发动广泛攻击

概要：

随着人工智能技术的普及，网络安全威胁正呈现出新的演变趋势。近期，趋势科技发现名为EvilAI的新型恶意软件活动，通过伪装成生产力工具或AI增强软件，利用高度仿真的界面和有效数字签名绕过安全检测，对全球多个关键行业造成广泛影响。

主要内容：

EvilAI恶意软件通过新注册的仿冒网站和恶意广告进行分发，其安装程序具有真实软件功能界面，使用户难以察觉异常。该恶意软件使用AI生成的代码，外观干净合法，能有效规避传统安全解决方案的静态扫描检测。

恶意软件通过Node.js执行JavaScript负载，在后台建立持久化机制。它创建名为sys_component_health_{UID}的计划任务，每日定时执行，并通过Windows注册表Run项确保随系统启动。攻击者还使用WMI进行进程枚举，并查询注册表以识别安全软件。

EvilAI使用AES-256-CBC加密与C&C服务器进行实时通信，窃取浏览器敏感数据。其核心功能包括文件操作、注册表修改、进程执行和脚本处理，通过JSON格式命令实现远程控制。该恶意软件主要影响制造业、政府部门和医疗行业，已在全球范围内造成严重威胁。