L’intelligenza artificiale è senza dubbio la rivoluzione del momento: una tecnologia, che se usata in maniera affidabile e normata, apre tante opportunità ma che analagamente introduce nuove sfide, sopratutto nell’ambito della cybersecurity, dove può essere facilmente sfruttata dai criminali informatici per portare a segno attacchi più mirati.
L’ultimo esempio in ordine cronologico arriva da una segnalazione di Kaspersky, che ha scoperto una nuova campagna di malware che sfrutta proprio la crescente popolarità degli strumenti di intelligenza artificiale camuffandosi da generatore vocale basato sull’AI. Il malware sfrutta GitHub per memorizzare archivi protetti da password come payload finale. Questo payload contiene password e data stealer, consentendo ai criminali informatici di ottenere vari tipi di dati, prelevare criptovalute e scaricare altri software dannosi.
Ricordiamo che proteggere gli asset aziendali con un’adeguata strategia di security è una delle priorità delle imprese, anche italiane, ma non basta dotarsi di una tecnologia allo stato dell’arte perché nella stragrande maggioranza dei casi l’anello debole della catena è rappresentato dal dipendente, che in maniera del tutto inconsapevole compie azioni che permettono ai criminali informatici di ‘bucare’ le difese aziendali. Investire in formazione e awareness è quindi oggi più che mai fondamentale, cercando di fornire ai dipendenti tutte le skill per riconoscere preventivamente un possibile attacco evitando il peggio.
Nel caso specifico segnalato da Kaspersky, possiamo dire che il il malware Gipy è attivo dalla metà del 2023, e che si distingue per la sua capacità di utilizzare come esca gli strumenti di intelligenza artificiale per diffondere il malware. L’infezione inizia quando un utente scarica un file dannoso da un sito web di phishing, che imita un’applicazione di intelligenza artificiale utilizzata per modificare le voci. Questi siti sono ben realizzati e appaiono identici a quelli legittimi. I link ai file dannosi sono spesso collocati su siti web di terze parti compromessi che utilizzano WordPress.
Dopo aver selezionato il pulsante “Installa”, si avvia il programma di installazione di un’applicazione legittima, ma in background uno script esegue attività dannose. Durante la sua esecuzione, Gipy scarica e lancia malware di terze parti da GitHub raggruppati in archivi ZIP protetti da password. Gli esperti di Kaspersky hanno analizzato oltre 200 di questi archivi e la maggior parte di quelli presenti su GitHub contiene Lumma, un noto password stealer. Tuttavia, gli esperti hanno trovato anche Apocalypse ClipBanker, un cryptominer Corona modificato e diversi RAT, tra cui DCRat e RADXRat. Inoltre, hanno scoperto alcuni password stealer come RedLine e RisePro, uno stealer chiamato Loli e una backdoor detta TrueClient, entrambi basati su Golang.
I criminali informatici che si celano dietro Gipy non mostrano una particolare preferenza geografica, prendendo di mira gli utenti di tutto il mondo. I primi cinque Paesi colpiti sono Russia, Taiwan, Stati Uniti, Spagna e Germania.
“Gli strumenti di IA offrono notevoli vantaggi e rivoluzionano la nostra vita quotidiana, ma gli utenti devono rimanere vigili. I criminali informatici stanno sfruttando il sempre maggior interesse verso l’IA per diffondere malware e condurre attacchi di phishing. L’intelligenza artificiale viene utilizzata come esca da oltre un anno e non ci aspettiamo che questa tendenza si attenui”, ha commentato Oleg Kupreev, Security Expert di Kaspersky.
Per rimanere protetti ed esplorare le nuove tecnologie in modo sicuro, qui trovi qualche consiglio da Kaspersky:
· Fare attenzione quando si scarica un software da Internet, soprattutto se proviene da un sito web di terze parti. Cercare sempre di scaricare il software dal sito ufficiale dell’azienda o del servizio che si utilizza.
· Verificare che il sito da cui si scarica il software sia legittimo. Verificare che sia presente l’icona del lucchetto nella barra degli indirizzi e assicurarsi che l’URL del sito web inizi con “https://” per garantire la sicurezza del sito.
· Utilizzare password forti e uniche per ogni account e attivare l’autenticazione a due fattori quando possibile. Questo aiuta a proteggere gli account dalla compromissione da parte di malintenzionati.
· Diffidare dei link sospetti o delle e-mail provenienti da fonti sconosciute. I truffatori spesso utilizzano tecniche di social engineering per indurre gli utenti a cliccare sui link o a scaricare software dannosi. · Utilizzare una soluzione di sicurezza affidabile e tenetela aggiornata. Kaspersky Premium è aggiornato con la più recente intelligence e aiuta a rilevare e rimuovere qualsiasi malware presente sul computer.
