O EvilAI surgiu nas últimas semanas e chamou atenção dos pesquisadores da Trend™ Research. Diferente de muitos trojans improvisados, ele chega ao usuário final com cara de produto sério. Interfaces profissionais, certificados de código válidos e até funções que realmente funcionam. Parece aplicativo de produtividade, mas é um ladrão de dados bem armado.
Esse detalhe explica por que passou despercebido em tantos computadores pessoais e redes corporativas. O usuário abre um programa com nome plausível App Suite, PDF Editor ou JustAskJacky e não desconfia. Enquanto ele testa funções aparentemente úteis, o malware já está criando raízes no sistema.
Onde ele já apareceu e quem foi mais atingido
A primeira detecção oficial aconteceu em 29 de agosto. Em menos de uma semana, já havia registros de infecção espalhados por diversos continentes. A Europa lidera o ranking com 56 ocorrências. Logo atrás, as Américas e a região AMEA acumulam 29 casos cada.
Falando de países, a Índia aparece no topo com 74 registros. Os Estados Unidos vêm na sequência com 68, seguidos pela França com 58. Outros países como Itália, Brasil e Alemanha também entraram na lista. Ou seja, não há foco exclusivo: trata-se de uma campanha global e bem financiada.
Setores que sentiram o impacto
O EvilAI não escolhe muito bem suas vítimas, mas alguns setores chamam mais a atenção. A indústria aparece em primeiro lugar, com 58 infecções confirmadas. Logo depois vêm governos com 51 casos e o setor de saúde com 48. Tecnologia, varejo e educação também foram atingidos.
Bom caros leitores(a) qualquer ambiente que dependa de dados e sistemas conectados pode se tornar alvo. Isso vai de uma fábrica até uma universidade, passando por hospitais e repartições públicas.
O instalador chega leve e direto, usando Node.js como base. Assim que roda, solta um arquivo JavaScript ofuscado no diretório Temp e executa em segundo plano via node.exe. Parece detalhe técnico, mas é isso que garante discrição.
A persistência é outro ponto forte. O malware cria uma tarefa agendada com nome parecido com processos legítimos do Windows. Além disso, coloca atalhos no menu iniciar e insere chaves no registro. Resultado: mesmo depois de reiniciar o computador, ele continua ativo.
Técnicas de ofuscação e geração de código com IA
A parte mais sofisticada está no uso de grandes modelos de linguagem. O código gerado é modular, limpo e bem estruturado, o que dificulta a detecção por assinaturas estáticas. Para complicar ainda mais, ele aplica técnicas como control flow flattening e strings codificadas em Unicode.
Em outras palavras: até analistas experientes precisam de tempo extra para entender o que o EvilAI faz. E nesse intervalo, os dados já estão em risco.
O alvo principal: dados de navegadores
Uma vez instalado, o EvilAI vai direto ao ponto. Ele procura processos do Chrome e Edge, força o encerramento e acessa os arquivos de perfil. Neles, copia dados sensíveis como históricos, preferências e credenciais armazenadas.
Esses arquivos recebem um sufixo “Sync” e são enviados para os servidores de comando e controle. Todo o tráfego usa HTTPS com criptografia AES-256-CBC, dificultando a interceptação. Além disso, o malware fica em contato constante com o servidor, pronto para receber novos comandos.
Como reduzir os riscos diante desse cenário
A defesa começa no básico: só instalar aplicativos de fontes confiáveis e não confiar apenas em certificados digitais. Eles podem ser válidos, mas não garantem legitimidade.
Do lado técnico, soluções de segurança precisam olhar para comportamento, e não só para assinaturas. Monitorar processos Node.js inesperados, tarefas agendadas incomuns e alterações no registro são sinais de alerta.
Treinamento de usuários também entra na equação. Interfaces polidas e recursos funcionais não significam que o software é seguro.
Por fim, segurança em camadas continua sendo a abordagem mais sólida. Combinar EDR, análise de tráfego de rede e monitoramento de anomalias ajuda a detectar ameaças como o EvilAI antes que causem prejuízos maiores.
Inteligência artificial em ataques cibernéticos
O EvilAI mostra como a inteligência artificial pode ser usada de forma criativa, mas perigosa, para driblar a detecção e roubar informações críticas. O ataque não tem fronteiras claras nem público-alvo definido. Pelo contrário, parece projetado para atingir qualquer organização conectada.
A questão que fica é se um malware consegue parecer tão legítimo a ponto de enganar empresas e governos inteiros, o que vem a seguir no jogo entre atacantes e defensores?
