За даними Trend Micro, malware націлений на кілька регіонів, включаючи Європу, Америку та Азію, Близький Схід і Африку (AMEA), з значними інфекціями в Індії, США, Франції, Італії, Бразилі, Німеччині, Великобританії, Норвегії, Іспанії та Канаді. Ключові сектори, що постраждали, включають виробництво, уряд, охорону здоров’я, технології та роздрібну торгівлю.

EvilAI поширюється через різні методи, такі як новостворені вебсайти, що імітують портали постачальників, шкідливу рекламу, маніпуляцію SEO та просування посилань на завантаження в форумах і соціальних мережах. Воно поширюється через програми на кшталт AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister та Tampered Chef, які виглядають автентично з професійними інтерфейсами та дійсними цифровими підписами, часто використовуючи сертифікати від одноразових компаній. Ця обманка ускладнює виявлення для користувачів і інструментів безпеки.

Можливості malware включають розвідку, ексфільтрацію чутливих даних браузера та підтримку зашифрованого, реального часу зв’язку з серверами команд і контролю (C2) за допомогою AES-шифрованих каналів. Воно діє як стейджер, отримуючи початковий доступ, встановлюючи персистентність і готуючи системи до додаткових payload, перераховуючи програмне забезпечення безпеки для перешкоджання аналізу.

Рекомендації щодо захисту передбачають розрізнення між легітимним і обманним ПЗ, враховуючи використання дійсних підписів і прихованих тактик. Це підкреслює зростаючі ризики в еру AI, де зловмисники використовують популярні інструменти для глобальних атак, вимагаючи посилення обізнаності та захисту в організаціях.