Cyberbedrohungen
Angriffe mit KI-generierten gefälschten Apps
Die EvilAI-Kampagne setzt auf als legitime Anwendungen getarnte Malware mit realistischen Benutzeroberflächen, Code-Signaturen und überzeugenden Funktionen. Unternehmen weltweit sind betroffen. Wir haben die Malware im Detail analysiert.
Save to Folio
Wichtige Erkenntnisse
- EvilAI tarnt sich als Produktivitäts- oder KI-gestützte Tools mit professionell aussehenden Benutzeroberflächen und gültigen digitalen Signaturen, die es für Nutzer und Sicherheitstools schwierig machen, sie von legitimer Software zu unterscheiden.
- EvilAI-Infektionen gibt es weltweit, und sie haben vor allem Unternehmen aus den Bereichen Fertigung, Regierung/öffentliche Dienste und Gesundheitswesen getroffen.
- Die Malware exfiltriert sensible Browserdaten und unterhält eine verschlüsselte Echtzeitkommunikation mit ihren Command-and-Control-Servern über AES-verschlüsselte Kanäle.
In den letzten Wochen beobachteten wir eine neue Welle von Malware-Kampagnen, deren Schädlinge sich als legitime KI-Tools und -Software tarnen – komplett mit realistischen Benutzeroberflächen, Code-Signaturen und überzeugenden Funktionen. Die eingesetzten Trojaner ahmen das Aussehen echter Software nach, um unbemerkt in Unternehmens- und Privatanwendungen einzudringen, wo sie oft dauerhaften Zugriff erlangen, ohne Verdacht zu erregen.
Die Raffinesse und Anpassungsfähigkeit deutet auf die Arbeit eines hochkompetenten Angreifers hin, der KI-Tools einsetzt, um Malware-Code zu generieren, der sauber und legitim aussieht und sich so der Erkennung durch herkömmliche Sicherheitslösungen entzieht. Trend Micro bezeichnet diese Malware-Familie als EvilAI.
Erste Anzeichen einer globalen Kampagne
Obwohl die Datenerfassung aus unserer internen Telemetrie erst am 29. August begann, hat bereits eine Woche Überwachung die aggressive und schnelle weltweite Verbreitung der EvilAI-Malware aufgezeigt. Europa meldete mit 56 Vorfällen die höchste Anzahl an Fällen, gefolgt von Amerika (Nord-, Mittel- und Südamerika) und AMEA (Asien, Naher Osten und Afrika). Diese schnelle und weitreichende Verbreitung über mehrere Regionen der Welt hinweg deutet stark darauf hin, dass EvilAI eine aktive und sich weiterentwickelnde Kampagne darstellt.
Region |
Anzahl |
Europa |
56 |
Amerika |
29 |
AMEA |
29 |
Tabelle 1: Die drei Regionen mit den meisten EvilAI-Malware-Erkennungen
Betroffene Länder
Diese Verteilung über verschiedene Regionen hinweg unterstreicht die nicht selektive Zielausrichtung von EvilAI.
Land |
Anzahl |
Indien |
74 |
Vereinigte Staaten |
68 |
Frankreich |
58 |
Italien |
31 |
Brasilien |
26 |
Deutschland |
23 |
Vereinigtes Königreich |
14 |
Norwegen |
10 |
Spanien |
10 |
Kanada |
8 |
Tabelle 2: Die 10 Länder mit den meisten EvilAI-Malware-Erkennungen
Betroffene Branchen
Die Infektionen haben kritische Sektoren getroffen, darunter das verarbeitende Gewerbe mit 58 Fällen, Behörden/öffentliche Dienste mit 51 Fällen und das Gesundheitswesen mit 48 Fällen, die zu den am stärksten betroffenen Bereichen zählen. Selbst kleinere Sektoren meldeten Fälle.
Branche |
Anzahl |
Fertigung |
58 |
Regierung |
51 |
Gesundheitswesen |
48 |
Technologie |
43 |
Einzelhandel |
31 |
Bildung |
27 |
Finanzdienstleistungen |
22 |
Bauwesen |
20 |
Gemeinnützige Organisationen |
19 |
Versorgungsunternehmen |
9 |
Tabelle 3: Am stärksten von EvilAI-Malware betroffene Branchen
Technische Details
Malware in funktionaler Software
Die Betreiber von EvilAI erstellen völlig neue Anwendungen, die keinem echten, legitimen Produkt entsprechen. Sie erfinden neue Anwendungsnamen und Funktionen, was die Erkennung noch schwieriger macht. In vielen Fällen wird die Malware mit funktionalen Anwendungen gebündelt, sodass Nutzer mit Software interagieren können, die wie erwartet funktioniert, während die versteckte schädliche Payloads im Hintergrund ausgeführt wird. Dieser duale Ansatz stellt sicher, dass die Erwartungen der Nutzer erfüllt werden
Die Angreifer nutzen LLMs, um neuen Malware-Code zu erstellen, der sauber und normal aussieht und keine statischen Scanner auslöst. Durch die Kombination von glaubwürdiger Funktionalität mit versteckter Payload-Übertragung lässt KI klassische Bedrohungen wie Trojaner wiederaufleben und verleiht ihnen neue Möglichkeiten, moderne Antiviren-Schutzmaßnahmen (AV) zu umgehen.
Eine gängige und äußerst wirksame Ausweichtaktik von EvilAI besteht darin, bösartige Software auf allen Ebenen als legitim erscheinen zu lassen. Dies beginnt mit der Verwendung plausibler, zweckorientierter Dateinamen, die jeweils so gewählt werden, dass sie dem vorgegeben Nutzen der Anwendung entsprechen. Diese Namen ahmen zwar keine bekannten Softwaremarken nach, sind jedoch so allgemein und zweckmäßig, dass sie für Nutzer authentisch wirken. Dazu gehören, so etwa App Suite, Epi Browser, JustAskJacky oder Manual Finder.
Diese bösartigen Anwendungen wurden online verbreitet und kursierten oft monatelang, bevor sie als Bedrohung identifiziert wurden, wodurch sie sowohl in Unternehmens- als auch in Privathaushalten weitreichend eindringen konnten. Anstatt vertrauenswürdige Anbieter zu kompromittieren, verbreiteten die Angreifer diese gefälschten Programme, indem sie
- sie auf neu registrierten Websites hosten, die Anbieterportale oder Seiten für technische Lösungen imitieren,
- bösartige Werbung, SEO-Manipulation und beworbene Download-Links in Foren und sozialen Medien einsetzen sowie
- Nutzer dazu ermutigen, Tools für Produktivität, Dokumentenverwaltung oder KI-gestützte Funktionen herunterzuladen.
Professionelle Oberflächen, Zertifikate und digitale Signaturen
Diese Tarnung wird durch professionell gestaltete Benutzeroberflächen und echte, funktionierende Merkmale, die den Erwartungen entsprechen, noch verstärkt. Wenn ein Nutzer beispielsweise „Recipe Lister“ öffnet, werden ihm Funktionen zur Rezeptverwaltung angezeigt, während „Manual Finder“ Funktionen zur Dokumentensuche bereitstellt. Diese direkte Übereinstimmung zwischen Name und Funktion hilft, das Misstrauen der Nutzer zu zerstreuen und fördert die Interaktion.
Um die Glaubwürdigkeit noch weiter zu stärken, missbrauchen Angreifer häufig digitale Signaturen und vertrauenswürdige Zertifikate. Einige Gruppen gehen sogar so weit, Code-Signing-Zertifikate zu erwerben, um ihrer Malware eine zusätzliche Vertrauensstufe zu verleihen, indem sie sie als „verifizierte“ Software erscheinen lassen. In vielen Fällen werden diese Zertifikate schließlich widerrufen, sobald der Missbrauch entdeckt wird. Die Registrierungsdaten im aktuellen Fall stammen aus 2024 und 2025.
Der technische Angriffsablauf ist im Originalbeitrag detailliert beschrieben.
Verteidigungsstrategien
Angesichts von Bedrohungen wie EvilAI ist es wichtiger denn je, strenge Cyber-Hygiene mit modernstem Schutz zu kombinieren. Trend empfiehlt die folgenden Strategien:
- Laden Sie Software nur aus vertrauenswürdigen Quellen herunter. Halten Sie sich an offizielle Websites und seriöse App-Stores. Seien Sie skeptisch gegenüber Programmen, die in Foren, sozialen Medien oder auf unbekannten Websites beworben werden – auch wenn sie professionell aussehen oder digitale Signaturen haben.
- Halten Sie Systeme und Anwendungen auf dem neuesten Stand. Stellen Sie sicher, dass Betriebssysteme und alle kritischen Anwendungen regelmäßig gepatcht werden, um Schwachstellen zu beheben, die Angreifer ausnutzen könnten.
- Schulen und warnen Sie Nutzer. Schulen Sie alle Mitarbeiter zu den Gefahren von Social Engineering.
- Achten Sie auf verdächtiges Verhalten. Es geht um unerwartete Prozessstarts, neue geplante Aufgaben, ungewöhnliche Registry-Einträge oder Verbindungen zu unbekannten Domänen – alles Anzeichen, die auf Malware-Aktivitäten hindeuten können.
- Aktualisieren Sie Anmeldedaten, wenn Sie eine Kompromittierung vermuten. Falls eine Routine zum Diebstahl von Informationen entdeckt wird oder der Verdacht besteht, dass eine solche ausgeführt wurde, aktualisieren Sie sofort alle potenziell kompromittierten Anmeldedaten (wie Passwörter, API-Schlüssel und Authentifizierungstoken), um unbefugten Zugriff und weiteren Schaden zu verhindern.
- Verfolgen Sie einen mehrschichtigen Sicherheitsansatz. Kombinieren Sie mehrere Abwehrmaßnahmen und bleiben Sie wachsam, da sich fortgeschrittene Bedrohungen wie EvilAI ständig weiterentwickeln, um einlagige Schutzmaßnahmen zu umgehen.
- Nutzen Sie fortschrittliche Sicherheitslösungen. Setzen Sie Lösungen ein, die Verhaltensanalysen und KI-gestützte Erkennung nutzen, um neue und versteckte Bedrohungen zu blockieren, die von herkömmlichen Sicherheitsmaßnahmen möglicherweise übersehen werden.
Fazit
Jüngste Analysen deuten darauf hin, dass EvilAI in erster Linie als Stager eingesetzt wird – seine Aufgabe besteht darin, einen ersten Zugriff zu erlangen, Persistenz herzustellen und das infizierte System für zusätzliche Payloads vorzubereiten. Aufgrund der während der Sandbox-Analyse und der Live-Telemetrie festgestellten Verhaltensmuster vermuten die Forscher, dass in den Folgephasen eine sekundäre Infostealer-Komponente eingesetzt wird. Die genaue Art und die Fähigkeiten dieser Payload sind jedoch noch unbekannt, was zu kritischen Lücken in der Sichtbarkeit und den Reaktionsmöglichkeiten der Verteidiger führt.
Diese Unklarheit stellt ein erhebliches Risiko dar. Ohne zu wissen, was nach der Infektion geliefert wird, können Unternehmen den Schaden nicht vollständig einschätzen oder wirksame Eindämmungsmaßnahmen ergreifen. Dies deutet auch darauf hin, dass die Kampagne sich weiterentwickelt, wobei die Angreifer möglicherweise Payloads in Echtzeit testen oder austauschen.
Das Aufkommen von KI-gestützter Malware wie EvilAI unterstreicht einen umfassenderen Wandel in der Bedrohungslandschaft. In dieser Umgebung können vertraute Software, signierte Zertifikate und ausgefeilte Nutzeroberflächen nicht mehr für bare Münze genommen werden. Die EvilAI-Kampagne macht deutlich, dass mehrschichtige, adaptive und KI-fähige Abwehrmaßnahmen heute unerlässlich sind, um Bedrohungen, die ständig dazulernen und sich weiterentwickeln, einen Schritt voraus zu sein.
Trend Vision One️™ ist eine KI-gestützte Cybersicherheitsplattform für Unternehmen, die das Management von Cyberrisiken, Sicherheitsmaßnahmen und robusten mehrschichtigen Schutz zentralisiert. Dieser ganzheitliche Ansatz hilft Unternehmen, Bedrohungen vorherzusagen und zu verhindern, und beschleunigt so proaktive Sicherheitsmaßnahmen in ihrer gesamten digitalen Infrastruktur.