Em uma época em que os usuários confiam na vigilância contra sites obscuros e hash de arquivos por meio de plataformas como Virustotal, uma nova onda de cavalos de Trojan está desafiando as defesas tradicionais.
Essas ameaças se disfarçam de aplicações legítimas de desktop, como poupadores de receitas, intensificadores de imagem movidos a IA e assistentes virtuais, enquanto incorporam recursos maliciosos.
Por exemplo, o aplicativo Justaskjacky, apresentando um personagem de desenho animado que fornece dicas domésticas, agenda as tarefas secretas para executar o código arbitrário de um comando e controle (C2) Servidor usando funções de avaliação em cargas úteis deobfuscadas.
Da mesma forma, o aplicativo de receita de tamperedchef interpreta os caracteres do espaço em branco em receitas baixadas como comandos executáveis, transformando conteúdo inócuo em um mecanismo de backdoor.
Uma ferramenta de busca de imagens de IA, prometendo aprimoramentos de fotos de alta qualidade, concede aos atores de ameaças acesso do sistema não autorizado em troca de seu serviço “gratuito”.
Esses exemplos, não detectados por scanners Virustotal por semanas, destacam uma mudança em que os Trojans integram a lógica maliciosa diretamente em aplicações funcionais, em vez de agrupar malware separado por meio de marceneiros ou ligantes.
Ressurgimento de trojans clássicos
O que distingue esses “verdadeiros” Trojans, conforme definido pelos pesquisadores de malware, é a inseparabilidade do aplicativo principal útil.
Diferentemente do malware polimórfico ou dos vetores de infecção enganosos frequentemente rotulados como troianos, essas ameaças incorporadas na funcionalidade principal do aplicativo, como comandos Steganograficamente ocultos nos dados da receita ou na execução do código acionado por C2 em respostas consultivas.
Historicamente raro nos últimos 10 a 15 anos, seu reavivamento decorre da acessibilidade de Grandes modelos de linguagem (LLMS).
O LLMS permite que os atores de ameaças gerem sites convincentes com layouts profissionais, conteúdo sem erros e bancos de dados curados de IA, corroendo os instintos intestinais dos usuários com base no esforço percebido ou nas falhas gramaticais.
Além disso, o LLMS facilita a criação de bases de código totalmente novas e descompactadas para esses aplicativos, evitando scanners estáticos em plataformas multi-scanners como o Virustotal, que carecem de análise comportamental avançada.
Evasão orientada por LLM
De acordo com G data, A conexão entre LLMS e evasão antivírus está nas limitações da detecção estática.
Os atores de ameaças testam malware contra os scanners restritos do Virustotal, que priorizam assinaturas conhecidas sobre análise dinâmica, com reconhecimento de contexto ou na memória.
Pré-Llm, a evasão geralmente exigia que os empacotadores ofusquem o código, uma alternativa de menor esforço para reescritas completas.
Agora, o LLMS automatiza a geração de código estruturado e comentado evidente nas funções legíveis de tamedchef, detalhando a renderização da Steganografia, empacotando os períodos desnecessários e prolongados de detecção zero, como visto em sua corrida não detectada de seis semanas.
Os indicadores sugerem o envolvimento do LLM, incluindo comentários excessivamente úteis que ajudam os engenheiros reversos, uma raridade em malware trabalhado manualmente.
Essa tendência ressalta apenas a inadequação das assinaturas estáticas; As defesas efetivas exigem monitoramento comportamental, análise dinâmica e assinaturas contextuais.
A Antivirus Solutions sinaliza anomalias como o agendamento de tarefas randomizadas do Justaskjacky ou a execução do comando Whitespace do TIMPEREDCHEF durante o tempo de execução.
Para os usuários, hábitos de longa data, como evitar a pirataria e os arquivos de hash, permanecem essenciais, mas devem evoluir. O senso comum, embora aconselhável, vacila contra ameaças polidas por LLM indistinguíveis de locais legítimos.
À medida que os Trojans se integrem mais profundamente às ferramentas do cotidiano, adaptar a detecção a essas técnicas de evoluções que liquidam décadas de décadas nos contextos modernos se torna crítico para a resiliência da segurança cibernética.
Indicadores de compromisso (COI)
| Nome | Tipo | Valor |
|---|---|---|
| Justaskjacky | SHA-256 HASH | 8ECD3C8C126BE7128BF654456D171284F03E4F212C27E1B33F875B8907A7BC65 |
| TIMPEREDCHEF | SHA-256 HASH | 1619BCAD3785BE31AC2FDEE0AB91392D08D9392032246E42673C3CB8964D4CB7 |
| Pesquisador de imagens | Url | Images-searcher.com |
| Receita Lister | Url | RECLIPELISTER.COM |
| Justaskjacky | Url | Justaskjacky.com |
| Pix Seek | Url | pix-seek.com |