Negli ultimi tempi, gli utenti che cercano di scaricare strumenti di intelligenza artificiale come ChatGPT e InVideo AI sono diventati un obiettivo privilegiato per i cybercriminali. Questi attaccanti sfruttano la popolarità degli strumenti AI diffondendo installer fasulli che veicolano ransomware e malware, minacciando soprattutto aziende e professionisti del marketing.

Esempio di attacco tramite falsi installer

Un esempio recente è rappresentato da falsi installer che promettono versioni premium o gratuite di tool AI, come quello distribuito dal sito novaleadsai[.]com, che imita una piattaforma di lead monetization nota. Gli utenti, attirati da offerte di accesso gratuito, scaricano in realtà un archivio ZIP con un eseguibile malevolo, NovaLeadsAI.exe, che funge da loader per il ransomware CyberLock basato su PowerShell. Questo ransomware si dedica a cifrare file presenti nelle partizioni più comuni dei sistemi Windows e lascia una nota di riscatto che chiede il pagamento di 50000 dollari in Monero. La richiesta di riscatto, in modo insolito, afferma che il denaro verrà destinato a cause umanitarie, ma l’obiettivo reale resta l’estorsione.

Tattiche di diffusione

Gli attacchi sfruttano tattiche di SEO poisoning per posizionare i siti fasulli tra i primi risultati dei motori di ricerca, incrementando così il numero di vittime. Non mancano campagne pubblicitarie su social come Facebook e LinkedIn che reindirizzano verso questi siti, spingendo ulteriormente la diffusione dei malware.

Nuove varianti di ransomware e altri malware

Oltre a CyberLock, sono emersi altri ransomware come Lucky_Gh0$t, una variante evoluta della famiglia Yashma, che viene distribuita tramite installer SFX malevoli. Questi non solo cifrano i file delle vittime, ma eliminano anche copie di backup e shadow copy, rendendo più difficile il recupero dei dati.

Un altro malware identificato, Numero, viene distribuito tramite un installer fake di InVideo AI. Questo programma malevolo esegue un ciclo continuo, modificando l’interfaccia grafica di Windows e rendendo il sistema inutilizzabile.

Dropper e tool per il furto di informazioni

Le campagne malevole non si limitano ai ransomware. Utilizzano anche dropper come STARKVEIL, che scaricano ulteriori malware modulari per il furto di informazioni, come GRIMPULL, FROSTRIFT e il RAT XWorm. Questi tool malevoli sono in grado di rubare credenziali, dati sensibili e controllare i dispositivi da remoto.

Raccomandazioni per la sicurezza

La crescente popolarità degli strumenti AI li rende un bersaglio ideale per cybercriminali, che sfruttano la curiosità e l’urgenza di provare le ultime novità tecnologiche. È fondamentale prestare attenzione alle fonti da cui si scaricano tali software, affidandosi solo ai siti ufficiali e diffidando di offerte troppo allettanti.