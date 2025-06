I criminali informatici stanno sfruttando la crescente diffusione dell’Intelligenza Artificiale per attaccare in modo sempre più sofisticato privati e aziende. Le tecniche utilizzate per distribuire software dannosi sono di diversa natura, fra cui l’avvelenamento SEO, una strategia che manipola i risultati dei motori di ricerca per far comparire i propri siti e link malevoli tra i primi risultati, o anche l’utilizzo di piattaforme come Telegram e social media messenger.

Le aziende in cerca di soluzioni basate sull’IA rischiano così di scaricare applicazioni contraffatte contenenti malware. Questa tipologia di minacce può compromettere dati sensibili, causare perdite economiche e minare la fiducia nelle tecnologie legittime. Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha recentemente identificato diverse minacce informatiche che si presentano come versioni legittime di applicazioni di IA.

CyberLock ransomware

Cisco Talos ha scoperto una nuova truffa informatica: un sito web falso, "novaleadsai[.]com", che replica il legittimo "novaleads.app", una piattaforma per la monetizzazione dei lead. I cybercriminali offrivano agli utenti un tool gratuito per 12 mesi, seguito da un abbonamento mensile di 95 dollari. Per aumentare la visibilità, il sito fraudolento veniva stato manipolato per apparire tra i primi risultati dei motori di ricerca. Dopo aver scaricato il file ZIP contenente l’eseguibile, lo script installava il ransomware CyberLock, avviando la crittografia dei dati.

Richiesta di riscatto tramite CyberLock

Attivo da febbraio 2025, il ransomware CyberLock sta colpendo dati sensibili e aziendali, chiedendo un riscatto di 50.000 dollari in criptovalute Monero. I cybercriminali, dopo aver ottenuto accesso completo a documenti, file personali e database riservati, utilizzano subdole tattiche psicologiche dichiarando che i pagamenti finanzieranno aiuti umanitari in aree come Palestina, Ucraina, Africa e Asia. Questa operazione di riscatto è più difficile da tracciare da parte delle forze dell'ordine per via della suddivisione del pagamento in due portafogli cripto. Talos ha anche registrato le modifiche dello sfondo del desktop della vittima, un ulteriore strumento per aumentare la pressione psicologica.

Lucky_Gh0$t: una falsa installazione di ChatGPT

Cisco Talos ha scoperto anche Lucky_Gh0$t, un ransomware che viene diffuso tramite un archivio ZIP autoestraente, mascherato da "ChatGPT 4.0 full version – Premium.exe". Questo pacchetto include l'eseguibile del ransomware e strumenti IA legittimi di Microsoft, probabilmente per eludere gli antivirus. All'apertura, lo script esegue il ransomware che elimina le shadow copy e i backup. Inoltre, cripta file inferiori a 1,2 GB e distrugge quelli più grandi, sovrascrivendoli.

“Numero”: un finto strumento per la creazione di video IA

Cisco Talos ha identificato inoltre un nuovo malware, soprannominato "Numero", che inganna gli utenti camuffandosi da installer di InVideo AI, una diffusa piattaforma online per la creazione di video. Il cybercriminale ha falsificato i metadati del file per far credere che il malware fosse un prodotto autentico di InVideo AI.

Le soluzioni Cisco per proteggersi

Per contrastare le minacce descritte in questo alert, Cisco offre un portafoglio integrato di soluzioni di sicurezza in grado di prevenire, rilevare e rispondere efficacemente agli attacchi informatici: