人工智能驱动的EvilAI恶意软件窃取浏览器数据并规避检测

网络安全领域出现了一种新型复杂恶意软件活动，该活动利用人工智能（AI）技术创建极具欺骗性的合法应用程序，标志着网络威胁战术的重大演变。

EvilAI恶意软件家族代表了威胁的新形态，它将AI生成的代码与传统木马技术相结合，在全球范围内渗透系统，同时保持前所未有的隐蔽性。该恶意软件通过伪装成生产力工具和AI增强工具进行传播，具备专业的用户界面、有效的数字签名以及与宣传功能相符的实际特性。

双重功能的恶意应用

诸如"Recipe Lister"、"Manual Finder"和"PDF Editor"等应用程序在为用户提供真实功能的同时，还在后台执行恶意负载。这种双重用途的方法显著降低了用户的怀疑度，使恶意软件能够在被发现前建立持久性。

全球遥测数据显示，该活动影响范围广泛，感染已蔓延至多个大洲，波及制造业、政府服务和医疗保健等关键领域。欧洲报告的病例最多，达56起，美洲和AMEA地区各29起。监测仅一周内就出现的快速地理分布表明，威胁态势正在活跃且不断扩大。

趋势科技（Trend Micro）研究人员发现，EvilAI采用了复杂的社交工程技术，结合AI生成的代码，这些代码在静态分析工具看来是干净合法的。威胁行为者创建了全新的应用程序，而不是模仿现有的软件品牌，这使得传统安全解决方案的检测变得更具挑战性。

高级感染与持久化机制

恶意软件的感染链始于用户启动看似合法的应用程序时，这会触发一个隐蔽的Node.js执行过程，该过程对用户不可见。

攻击利用精心设计的命令序列，通过Windows命令行静默启动node.exe，执行存储在临时目录中的JavaScript负载。持久化机制通过多种冗余方法展现出显著的复杂性。

EvilAI创建名为"sys_component_health_{UID}"的计划任务，伪装成合法的Windows进程，每天上午10:51触发，每四小时重复一次。实现使用以下命令结构：

schtasks /Create /TN "sys_component_health_{UID}" /TR "\"C:\Windows\system32\cmd[.]exe\" /c start \"\" /min \"%^LOCALAPPDATA^%\Programs\nodejs\node[.]exe\" \"%^LOCALAPPDATA^%\TEMP\{UID}or[.]js\"" /SC DAILY /ST 10:51 /RI 240 /DU 24:00 /F

此外，恶意软件还在Windows Run键中建立注册表项，确保在用户登录时执行，同时创建开始菜单快捷方式以维持合法软件安装的假象。JavaScript文件始终遵循带有GUID后缀的命名模式，后缀以"or"、"ro"或"of"等字符结尾。

高级检测规避技术

EvilAI的检测规避能力超越了传统的混淆技术，它通过使用MurmurHash3 32位哈希实现反分析循环。这些循环在静态分析工具看来像是潜在的无限执行周期，但实际上只执行一次，有效地迫使分析师依赖动态分析方法而非静态代码检查。