Milano, 28 maggio 2024. Kaspersky ha scoperto una nuova campagna di malware che sfrutta la crescente popolarità degli strumenti di intelligenza artificiale camuffandosi da generatore vocale basato sull’AI. Il malware sfrutta GitHub per memorizzare archivi protetti da password come payload finale. Questo payload contiene password e data stealer, consentendo ai criminali informatici di ottenere vari tipi di dati, prelevare criptovalute e scaricare altri software dannosi.

Attivo dalla metà del 2023, il malware Gipy si distingue per la sua capacità di utilizzare come esca gli strumenti di intelligenza artificiale per diffondere il malware. In una recente campagna analizzata da Kaspersky, l'infezione inizia quando un utente scarica un file dannoso da un sito web di phishing, che imita un'applicazione di intelligenza artificiale utilizzata per modificare le voci. Questi siti sono ben realizzati e appaiono identici a quelli legittimi. I link ai file dannosi sono spesso collocati su siti web di terze parti compromessi che utilizzano WordPress.

Dopo aver selezionato il pulsante "Installa", si avvia il programma di installazione di un'applicazione legittima, ma in background uno script esegue attività dannose. Durante la sua esecuzione, Gipy scarica e lancia malware di terze parti da GitHub raggruppati in archivi ZIP protetti da password. Gli esperti di Kaspersky hanno analizzato oltre 200 di questi archivi e la maggior parte di quelli presenti su GitHub contiene Lumma, un noto password stealer. Tuttavia, gli esperti hanno trovato anche Apocalypse ClipBanker, un cryptominer Corona modificato e diversi RAT, tra cui DCRat e RADXRat. Inoltre, hanno scoperto alcuni password stealer come RedLine e RisePro, uno stealer chiamato Loli e una backdoor detta TrueClient, entrambi basati su Golang.

I criminali informatici che si celano dietro Gipy non mostrano una particolare preferenza geografica, prendendo di mira gli utenti di tutto il mondo. I primi cinque Paesi colpiti sono Russia, Taiwan, Stati Uniti, Spagna e Germania.

"Gli strumenti di IA offrono notevoli vantaggi e rivoluzionano la nostra vita quotidiana, ma gli utenti devono rimanere vigili. I criminali informatici stanno sfruttando il sempre maggior interesse verso l'IA per diffondere malware e condurre attacchi di phishing. L'intelligenza artificiale viene utilizzata come esca da oltre un anno e non ci aspettiamo che questa tendenza si attenui", ha commentato Oleg Kupreev, Security Expert di Kaspersky.

Per rimanere protetti ed esplorare le nuove tecnologie in modo sicuro, gli esperti Kaspersky consigliano di:

•Fare attenzione quando si scarica un software da Internet, soprattutto se proviene da un sito web di terze parti. Cercare sempre di scaricare il software dal sito ufficiale dell'azienda o del servizio che si utilizza.

•Verificare che il sito da cui si scarica il software sia legittimo. Verificare che sia presente l'icona del lucchetto nella barra degli indirizzi e assicurarsi che l'URL del sito web inizi con "https://" per garantire la sicurezza del sito.

•Utilizzare password forti e uniche per ogni account e attivare l'autenticazione a due fattori quando possibile. Questo aiuta a proteggere gli account dalla compromissione da parte di malintenzionati.

•Diffidare dei link sospetti o delle e-mail provenienti da fonti sconosciute. I truffatori spesso utilizzano tecniche di social engineering per indurre gli utenti a cliccare sui link o a scaricare software dannosi.

•Utilizzare una soluzione di sicurezza affidabile e tenetela aggiornata. Kaspersky Premium è aggiornato con la più recente intelligence e aiuta a rilevare e rimuovere qualsiasi malware presente sul computer.

