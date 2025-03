Adnkronos

– Milano, 7 marzo 2025. Gli esperti di Kaspersky hanno scoperto che i cybercriminali hanno sfruttato il geofencing, gli account aziendali compromessi e i bot network coordinati per diffondere un malware nascosto nel software DeepSeek AI, generando oltre 1,2 milioni di visualizzazioni su X.

Il Threat Research e l’AI Technology Research di Kaspersky hanno collaborato per identificare una sofisticata campagna fraudolenta che sfrutta la rapida crescita e l’interesse del pubblico per DeepSeek AI, un popolare chatbot di Generative AI, al fine di distribuire malware tramite siti web fraudolenti.

I ricercatori di Kaspersky hanno scoperto che i cybercriminali hanno creato delle repliche del sito ufficiale di DeepSeek, utilizzando nomi di dominio come “deepseek-pc-ai[.]com” e “deepseek-ai-soft[.]com”. Una peculiarità di questa campagna è l’uso della tecnologia geofencing, che permette ai siti web malevoli di verificare l’indirizzo IP di ciascun utente e di modificare automaticamente la visualizzazione dei contenuti in base alla posizione geografica, consentendo agli aggressori di perfezionare il loro approccio e ridurre i rischi di rilevamento.

“Questa campagna dimostra la notevole complessità della minaccia rispetto agli attacchi di social engineering tradizionali”, ha commentato Vasily Kolesnikov, Senior Malware Analyst di Kaspersky Threat Research. “I cybercriminali sfruttano l’attuale diffusione della tecnologia di Generative AI, coniugando abilmente il geofencing mirato, gli account aziendali compromessi e l’utilizzo di bot per raggiungere un pubblico sempre più vasto, riuscendo ad aggirare efficacemente le difese di cybersecurity.”

Dalla ricerca di Kaspersky risulta che il canale principale utilizzato per la distribuzione della campagna è stato il social media X. In particolare, gli aggressori hanno compromesso strategicamente l’account di un’azienda australiana legittima per diffondere su larga scala i link fraudolenti. Questo singolo post malevolo ha attirato una grande attenzione, raggiungendo circa 1,2 milioni di impression e generando centinaia di repost. Gli esperti di Kaspersky hanno scoperto che questi repost provenivano nella maggior parte dei casi da account bot coordinati, come risulta dalle convenzioni di denominazione e dalle caratteristiche del profilo simili, il che indica chiaramente che i contenuti dannosi sono stati intenzionalmente diffusi.

Gli utenti attirati da siti web fraudolenti sono poi stati invitati a scaricare un’applicazione client di DeepSeek falsa. A differenza della versione autentica del software, questi siti fornivano installer dannosi tramite la piattaforma di installazione Inno Setup. Una volta eseguiti, questi programmi compromessi cercavano di contattare i server di comando e controllo remoti per recuperare gli script PowerShell codificati in Base64. Successivamente, questi script attivavano il servizio SSH integrato in Windows, lo riconfiguravano con chiavi controllate dagli aggressori, che gli consentivano l’accesso remoto completo e non autorizzato ai sistemi compromessi.

Tutti i payload del malware collegati a questa campagna sono stati identificati e bloccati in modo proattivo dai prodotti di sicurezza Kaspersky, come le varianti di Trojan-Downloader.Win32.TookPS.*

Per proteggersi da queste truffe, Kaspersky consiglia di:

Verificare attentamente gli URL. I siti web di AI fraudolenti spesso utilizzano nomi di dominio che assomigliano molto a quelli legittimi, ma con differenze minime. Prima di scaricare un software di intelligenza artificiale, è importante verificare la corrispondenza tra l’URL del sito web e il dominio ufficiale, senza parole aggiuntive, punti o variazioni ortografiche.

Tenere sempre aggiornati i software. La maggior parte delle vulnerabilità di sicurezza sfruttate dai malware possono essere risolte installando le versioni più recenti del sistema operativo e delle applicazioni, in particolare i software di sicurezza.

Threat Research

Il team Threat Research è leader nella protezione dalle minacce informatiche. Impegnandosi attivamente sia nell’analisi delle minacce che nello sviluppo di tecnologie, i nostri esperti TR garantiscono che le soluzioni di cybersecurity di Kaspersky siano sempre aggiornate ed estremamente efficienti, offrendo un’intelligence completa sulle minacce e una solida sicurezza ai clienti e alla community in generale.

Kaspersky AI Technology Research Center

Gli esperti del Kaspersky AI Technology Research Center lavorano da circa 20 anni con l’IA nel campo della cybersecurity e della Secure AI per individuare e contrastare la più ampia gamma di minacce informatiche. Il team mette a disposizione il proprio expertise in materia di intelligenza artificiale, basata su ricerche approfondite, per potenziare le soluzioni aziendali, dal rilevamento delle minacce e la gestione degli alert tramite IA, alla GenAI-powered Threat Intelligence.

