I cybercriminali oggigiorno sfruttano tutto ciò che è popolare per distribuire minacce online senza destare sospetti agli utenti che ne diventano le vittime. Questo è quanto scoperto ancora una volta dai ricercatori di Kaspersky, nota azienda di cybersicurezza. Infatti, recentemente hanno rilevato repliche perfette del sito ufficiale di DeepSeek AI, la nota intelligenza artificiale sviluppata in Cina.
“Questa campagna dimostra la notevole complessità della minaccia rispetto agli attacchi di social engineering tradizionali. I cybercriminali sfruttano l’attuale diffusione della tecnologia di Generative AI, coniugando abilmente il geofencing mirato, gli account aziendali compromessi e l’utilizzo di bot per raggiungere un pubblico sempre più vasto, riuscendo ad aggirare efficacemente le difese di cybersecurity”, ha spiegato Vasily Kolesnikov, Senior Malware Analyst di Kaspersky Threat Research.
La tecnologia geofencing permette ai siti web malevoli di verificare l’Indirizzo IP di ogni utente e così modificare automaticamente la visione dei contenuti, in base alla posizione geografica degli stessi. In questo modo gli aggressori sono in grado di perfezionare il loro approcci oltre che di ridurre i rischi di essere scoperti. Ecco come stanno riuscendo a diffondere siti DeepSeek AI fraudolenti per spingere gli utenti a scaricare malware pericolosi.
Siti DeepSeek AI fasulli: come agiscono e quali pratiche per difendersi
Secondo quanto scoperto dai ricercatori di Kaspersky, i truffatori hanno sfruttano il social media X come canale per diffondere le repliche del sito ufficiale di DeepSeek AI. Dopo aver compromesso un’azienda australiana legittima, hanno diffuso su larga scala i link fraudolenti.
“Questo singolo post malevolo ha attirato una grande attenzione, raggiungendo circa 1,2 milioni di impression e generando centinaia di repost”, ha precisato Kaspersky nel suo comunicato stampa ufficiale. Anche se questo è avvenuto in Australia è possibile che tale strategia possa essere sfruttata in tutto il mondo, anche in Italia.
“Gli utenti attirati da siti web fraudolenti sono poi stati invitati a scaricare un’applicazione client di DeepSeek falsa. A differenza della versione autentica del software, questi siti fornivano installer dannosi tramite la piattaforma di installazione Inno Setup. Una volta eseguiti, questi programmi compromessi cercavano di contattare i server di comando e controllo remoti per recuperare gli script PowerShell codificati in Base64. Successivamente, questi script attivavano il servizio SSH integrato in Windows, lo riconfiguravano con chiavi controllate dagli aggressori, che gli consentivano l’accesso remoto completo e non autorizzato ai sistemi compromessi”, hanno spiegato i ricercatori.
Gli esperti consigliano di verificare attentamente gli URL dei link inclusi in post, email o messaggi di testo, utilizzare una soluzione di sicurezza completa e aggiornare costantemente i software.
