Kaspersky ha scoperto la campagna di malware Gipy che, camuffandosi da generatore vocale basato sull’AI, memorizza archivi protetti da password come payload finale. Questo payload contiene password e data stealer, consentendo ai cybercriminali di ottenere vari tipi di dati, prelevare criptovalute e scaricare altri software dannosi.
Come inizia l’infezione
Attivo dalla metà del 2023, Gipy si distingue per la sua capacità di utilizzare come esca gli strumenti di intelligenza artificiale per diffondere il malware. In una recente campagna analizzata da Kaspersky, l’infezione inizia quando un utente scarica un file dannoso da un sito web di phishing. Questo imita un’applicazione di intelligenza artificiale utilizzata per modificare le voci. Si tratta di siti ben realizzati che appaiono identici a quelli legittimi. I link ai file dannosi sono spesso collocati su siti web di terze parti compromessi che utilizzano WordPress.
Attenzione al malware Gipy
Dopo aver selezionato il pulsante “Installa”, si avvia il programma di installazione di un’applicazione legittima, ma in background uno script esegue attività dannose. Durante la sua esecuzione, Gipy scarica e lancia malware di terze parti da GitHub raggruppati in archivi ZIP protetti da password. Gli esperti Kaspersky hanno analizzato oltre 200 di questi archivi e la maggior parte di quelli presenti su GitHub contiene Lumma, noto password stealer. Tuttavia gli esperti hanno trovato anche Apocalypse ClipBanker, cryptominer Corona modificato, e diversi RAT, tra cui DCRat e RADXRat. Inoltre, hanno scoperto alcuni password stealer come RedLine e RisePro, uno stealer chiamato Loli e la backdoor TrueClient, entrambi basati su Golang. I criminali informatici dietro Gipy non mostrano una particolare preferenza geografica, prendendo di mira gli utenti di tutto il mondo. I primi Paesi colpiti sono Russia, Taiwan, Stati Uniti, Spagna e Germania.
L’intelligenza artificiale usata come esca
Oleg Kupreev, Security Expert di Kaspersky
Gli strumenti di IA offrono notevoli vantaggi e rivoluzionano la nostra vita quotidiana, ma gli utenti devono rimanere vigili. I criminali informatici stanno sfruttando il sempre maggior interesse verso l’IA per diffondere malware e condurre attacchi di phishing. L’intelligenza artificiale viene utilizzata come esca da oltre un anno e non ci aspettiamo che questa tendenza si attenui.
I consigli degli esperti Kaspersky
- Fare attenzione quando si scarica un software da Internet, soprattutto se proviene da un sito web di terze parti. Cercare sempre di scaricare il software dal sito ufficiale dell’azienda o del servizio che si utilizza.
- Verificare che il sito da cui si scarica il software sia legittimo. Verificare che sia presente l’icona del lucchetto nella barra degli indirizzi. Assicurarsi che l’URL del sito web inizi con “https://” per garantire la sicurezza del sito.
- Utilizzare password forti e uniche per ogni account e attivare l’autenticazione a due fattori quando possibile. Questo aiuta a proteggere gli account dalla compromissione da parte di malintenzionati.
- Diffidare dei link sospetti o delle e-mail provenienti da fonti sconosciute. I truffatori spesso utilizzano tecniche di social engineering per indurre gli utenti a cliccare sui link o a scaricare software dannosi.
- Utilizzare una soluzione di sicurezza affidabile e tenetela aggiornata. Kaspersky Premium è aggiornato con la più recente intelligence e aiuta a rilevare e rimuovere qualsiasi malware presente sul computer.