Anche questa volta gli utenti Mac non sono colpiti da una nuova sofisticata campagna di attacco che sfrutta la popolarità dell’Intelligenza Artificiale, e in particolare del modello cinese DeepSeek, clonato per diffondere un pericoloso malware che colpisce invece i PC Windows.
Dal punto di vista della complessità tecnica siamo a distanza siderale dagli attacchi tradizionali, come segnalano gli esperti di sicurezza Kaspersky. Infatti in questa operazione i pirati informatici hanno sfruttato in contemporanea geofencing, account aziendali compromessi e una rete di bot coordinati.
I cybercriminali hanno creato delle repliche del sito ufficiale di DeepSeek, utilizzando nomi di dominio come “deepseek-pc-ai[.]com” e “deepseek-ai-soft[.]com”. Sfruttando il geofencing, i siti web malevoli erano in grado di verificare l’indirizzo IP di ogni utente, in questo modo la visualizzazione dei contenuti cambiava in modo dinamico in base alla posizione geografica.
Questo ha permesso ai pirati di perfezionare approccio e attacco, oltre a ridurre il rischio di essere scoperti. Il canale principale di distribuzione è stato il social X: i cybercriminali hanno prima compromesso un account legittimo di un’azienda australiana, successivamente sfruttato per diffondere su larga scala i collegamenti ai siti web fraudolenti.
Purtroppo un singolo post malevolo ha attirato grande attenzione sul social, raggiungendo circa 1,2 milioni di impression, oltre a generare centinaia di repost. Secondo le analisi Kaspersky le convenzioni nelle denominazioni e le caratteristiche del profili tutte simili, dimostrano che i repost provenivano nella maggior parte dei casi da una rete di account bot coordinati.
Gli utenti, attirati nei siti web fraudolenti, venivano invitati a scaricare una versione falsa di DeepSeek contenente installer dannosi, in grado di colpire i PC Windows. Una volta in esecuzione i malware cercavano di contattare i server remoti di comando e controllo per recuperare gli script PowerShell codificati in Base64.
Tramite questi veniva attivato il servizio SSH di Windows, riconfigurato con chiavi controllate dai pirati, ottenendo così accesso remoto completo al computer, senza alcuna autorizzazione. Tutti i payload del malware collegati a questa campagna sono stati identificati e bloccati in modo proattivo dai prodotti di sicurezza Kaspersky, come le varianti di Trojan-Downloader.Win32.TookPS.
Per proteggersi dalle truffe rimangono sempre validi i tre consigli degli esperti Kaspersky:
- Verificare con attenzione che l’indirizzo URL del sito web corrisponda esattamente al dominio ufficiale, senza parole aggiuntive, punti o variazioni ortografiche
- Ultilizzare una soluzione di sicurezza completa, come Kaspersky Premium
- Tenere sempre aggiornati i software
Tutti gli articoli sulla sicurezza informatica da questa pagina, invece per le notizie sull’Intelligenza Artificiale rimandiamo alla sezione dedicata di macitynet.
