I criminali informatici stanno sfruttando l’Intelligenza Artificiale per lanciare attacchi sempre più sofisticati a privati e aziende. Le tecniche utilizzate per distribuire software dannosi sono di diversa natura, fra cui l’avvelenamento SEO, una strategia che manipola i risultati dei motori di ricerca per far comparire i propri siti e link malevoli tra i primi risultati, o anche l’utilizzo di piattaforme come Telegram e social media messenger. Le aziende in cerca di soluzioni basate sull’IA rischiano così di scaricare applicazioni contraffatte contenenti malware. Questa tipologia di minacce può compromettere dati sensibili, causare perdite economiche e minare la fiducia nelle tecnologie legittime.
Cisco Talos ha recentemente identificato diverse minacce informatiche che si presentano come versioni legittime di applicazioni di IA:
CyberLock ransomware: un sito web falso, “novaleadsai[.]com”, che replica il legittimo “novaleads.app”, una piattaforma per la monetizzazione dei lead. I cybercriminali offrivano agli utenti un tool gratuito per 12 mesi, seguito da un abbonamento mensile di 95 dollari. Per aumentare la visibilità, il sito fraudolento veniva stato manipolato per apparire tra i primi risultati dei motori di ricerca. Dopo aver scaricato il file ZIP contenente l’eseguibile, lo script installava il ransomware CyberLock, avviando la crittografia dei dati.
Richiesta di riscatto tramite CyberLock. Attivo da febbraio 2025, il ransomware CyberLock sta colpendo dati sensibili e aziendali, chiedendo un riscatto di 50.000 dollari in criptovalute Monero. I cybercriminali, dopo aver ottenuto accesso completo a documenti, file personali e database riservati, utilizzano subdole tattiche psicologiche dichiarando che i pagamenti finanzieranno aiuti umanitari in aree come Palestina, Ucraina, Africa e Asia. Questa operazione di riscatto è più difficile da tracciare da parte delle forze dell’ordine per via della suddivisione del pagamento in due portafogli cripto. Talos ha anche registrato le modifiche dello sfondo del desktop della vittima, un ulteriore strumento per aumentare la pressione psicologica.
Lucky_Gh0$t: una falsa installazione di ChatGPT. Si tratta di un ransomware che viene diffuso tramite un archivio ZIP autoestraente, mascherato da“ChatGPT 4.0 full version – Premium.exe”. Questo pacchetto include l’eseguibile del ransomware e strumenti IA legittimi di Microsoft, probabilmente per eludere gli antivirus. All’apertura, lo script esegue il ransomware che elimina le shadow copy e i backup. Inoltre, cripta file inferiori a 1,2 GB e distrugge quelli più grandi, sovrascrivendoli.
“Numero”: un finto strumento per la creazione di video IA. Il nuovo malware inganna gli utenti camuffandosi da installer di InVideo AI, una diffusa piattaforma online per la creazione di video. Il cybercriminale ha falsificato i metadati del file per far credere che il malware fosse un prodotto autentico di InVideo AI.