Ferramentas de inteligência artificial estão sendo usadas por cibercriminosos para enganar usuários e preparar ataques digitais em grande escala. O Brasil está entre os países mais visados por essa nova campanha, batizada de EvilAI pela empresa de segurança Trend Micro.
Apps que parecem úteis, mas escondem ameaças
Os criminosos estão distribuindo aplicativos aparentemente legítimos, como editores de PDF, navegadores alternativos e até apps de receitas. Alguns dos nomes usados como isca incluem AppSuite, EpiBrowser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister e Tampered Chef.
Na prática, esses programas até funcionam — um editor de PDF, por exemplo, realmente permite fazer alterações em documentos. Mas, em segundo plano, eles executam ações maliciosas invisíveis, como abrir portas no sistema, roubar dados ou preparar a máquina para receber novas cargas de malware.
Como os golpistas atraem vítimas
Para enganar usuários, os cibercriminosos criam sites falsos, investem em anúncios, publicam links em fóruns e redes sociais e até aplicam técnicas de SEO para que esses sites apareçam nos primeiros resultados do Google.
Os aplicativos também usam assinaturas digitais válidas — certificados que servem como selo de autenticidade — emitidos por “empresas descartáveis”. Assim, quando um certificado é revogado, eles simplesmente usam outro, dificultando a detecção.
O que o EvilAI consegue fazer
O EvilAI funciona como um “primeiro estágio” do ataque: garante acesso inicial, se mantém ativo mesmo após reinícios e prepara terreno para outras infecções.
Entre suas capacidades, estão:
- Identificar softwares de segurança instalados;
- Mapear arquivos e permissões do sistema;
- Roubar senhas, histórico do navegador e credenciais;
- Comunicar-se de forma criptografada com os servidores dos criminosos;
- Permanecer ativo por longos períodos sem ser detectado.
Investigações em andamento
A campanha chamou atenção de várias empresas de segurança. A G DATA encontrou conexões entre diferentes apps maliciosos que compartilhavam a mesma infraestrutura. A Expel descobriu o uso de pelo menos 26 certificados digitais emitidos em países como Panamá e Malásia, e deu o nome BaoLoader para uma variante do ataque. Já a TRUESEC acredita que alguns malwares identificados por nomes diferentes — como TamperedChef e BaoLoader — sejam, na verdade, o mesmo software.
Outras investigações revelaram técnicas ainda mais sofisticadas, como o uso de Unicode homoglyphs (caracteres visualmente idênticos) para esconder cargas maliciosas dentro de respostas aparentemente normais de APIs. Isso mostra o nível de complexidade da campanha e levanta a hipótese da existência de um mercado paralelo de certificados digitais ou até mesmo de malware oferecido como serviço.
O que isso significa
Essa nova onda de ataques evidencia um cenário preocupante: criminosos digitais estão usando as mesmas tecnologias de IA que ajudam empresas e usuários para criar golpes cada vez mais convincentes. Para as vítimas, o risco vai desde o roubo de informações pessoais até a invasão de sistemas corporativos inteiros.
Manter o sistema atualizado, desconfiar de aplicativos desconhecidos e contar com soluções de segurança robustas nunca foi tão importante.
