La campagna di malvertising denominata LLMShare sposta il terreno dello scontro direttamente all’interno delle piattaforme di intelligenza artificiale che milioni di professionisti utilizzano quotidianamente.

I ricercatori di sicurezza di Push Security hanno documentato come i criminali informatici abbiano smesso di fare affidamento esclusivamente sulle classiche campagne di phishing via e-mail, preferendo sfruttare l’autorità e la reputazione incontaminata dei domini ufficiali di OpenAI e Anthropic.

Il cuore di questa minaccia risiede nell’abuso sistematico di una funzione del tutto legittima e strutturale di servizi come ChatGPT e Claude, ovvero i collegamenti pubblici per la condivisione delle sessioni di chat, comunemente noti come Shared Links.

L’adescamento sui motori di ricerca

Il meccanismo di infezione si attiva solitamente sui motori di ricerca tradizionali, dove gli utenti cercano un accesso rapido alle interfacce di intelligenza artificiale generativa o digitano per errore il nome del servizio involontariamente.

Gli aggressori acquistano spazi pubblicitari sponsorizzati altamente mirati, aggirando i controlli automatizzati delle piattaforme di advertising grazie a restrizioni geografiche e temporali molto stringenti.

“Gli aggressori creano contenuti su piattaforme come ChatGPT e Claude che sembrano offrire guide all’installazione o aggiornamenti dei servizi, per poi indirizzare il traffico verso tali contenuti tramite i risultati dei motori di ricerca, sotto forma di malvertising e manipolazione dei risultati SEO”, spiega Keanu Maharaj di Push Security.

In pratica, quando la vittima clicca su uno di questi annunci ingannevoli, il browser non viene indirizzato verso un dominio sospetto creato ad hoc, ma verso un URL autentico registrato sotto i domini ufficiali delle IA.

Questo stratagemma neutralizza istantaneamente i tradizionali sistemi di filtraggio perimetrale e i database di reputazione web, che considerano tali indirizzi intrinsecamente sicuri e privi di minacce.

“Il contenuto risiede su chatgpt.com o claude.ai, domini di cui utenti e strumenti di sicurezza si fidano ciecamente; pertanto, l’attacco aggira i controlli di reputazione degli URL prima ancora che la vittima raggiunga il payload dannoso.”, continua Maharaj.

Fonte: Push Security.

La falsa schermata di errore dell’IA

Una volta aperta la pagina di condivisione della chat, l’utente si trova di fronte a uno scenario di ingegneria sociale estremamente curato.

Sfruttando le capacità di rendering dinamico del codice e l’interfaccia flessibile delle chat caricate, gli attaccanti riescono a simulare a tutto schermo una schermata di errore di sistema. Questo avviso fasullo, che imita alla perfezione la grafica ufficiale della piattaforma, informa l’utente che il servizio è temporaneamente inaccessibile a causa dell’elevato traffico o di un problema di caricamento locale.

Per ripristinare il corretto funzionamento, la pagina invita a cliccare su un pulsante per scaricare un presunto aggiornamento o un pacchetto di ottimizzazione del browser.

Questa tecnica fa leva su una abitudine degli utenti, i quali considerano ormai normale installare estensioni o eseguire piccoli applicativi per migliorare le prestazioni dei propri strumenti digitali.

Il payload finale e le tecniche di evasione

Il clic sul pulsante avvia l’ultima fase del vettore di attacco, reindirizzando il traffico verso un dominio esterno controllato dai criminali per scaricare il payload malevolo, che si presenta come pagina per il download ufficiale dell’applicazione desktop di ChatGPT, propinando delle presunte versioni per Windows, macOS e un link per l’estensione di Chrome.

Il file eseguibile “Chat_GPT.exe” eventualmente scaricato installerebbe in realtà un malware in grado di rubare dati, aprire backdoor o eseguire comandi dannosi.

Fonte: Push Security.

Vale la pena notare come queste pagine di landing utilizzino tecniche sofisticate per mostrare il software dannoso solo se rilevano una connessione proveniente da un browser umano reale, mentre mostrano schermate vuote o innocue se analizzati da sistemi automatici e sandbox di sicurezza.

Strategie di difesa e protezione aziendale

Le difese aziendali classiche mostrano forti limiti di fronte a una simile catena di eventi, poiché non è pensabile bloccare interamente l’accesso a piattaforme di intelligenza artificiale integrate nei flussi di lavoro produttivi.

Diventa quindi indispensabile chiarire in modo inequivocabile che nessuna piattaforma di intelligenza artificiale richiederà mai l’installazione di file locali o l’esecuzione di comandi da terminale per risolvere semplici anomalie di traffico o errori di visualizzazione della pagina web.