Microsoft ha identificato una campagna in cui i cybercriminali sfruttano i consigli dei chatbot AI per distribuire software infetto che contiene miner di criptovalute. Questa tecnica, chiamata cryptojacking, mira a sfruttare le risorse del computer, in particolare le GPU, senza il consenso degli utenti.

Le tecniche dei cybercriminali

I criminali hanno adottato diverse strategie per indurre gli utenti a scaricare software infetto. L’attacco si basa su una versione moderna del SEO poisoning, con l’aggiunta di manipolazione dei risultati forniti dai chatbot AI. Si cerca di convincere gli utenti a visitare siti simili a quelli originali, dove possono trovare tool popolari come CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear.

Se un utente cerca uno di questi strumenti su un motore di ricerca o in chatbot come Google AI Studio, può incorrere in un link dannoso. Questi link, che spesso appaiono nei risultati forniti dagli LLM (Large Language Model) e nei suggerimenti dei chatbot, portano a dominio fasulli. Microsoft ha individuato oltre 150 domini coinvolti in questa campagna.

Il funzionamento del malware

Una volta cliccato il link, l’utente scarica un file ZIP che include sia l’eseguibile legittimo del tool che una DLL compromessa, denominata autorun.dll. Quando l’eseguibile viene lanciato, il malware utilizza la tecnica del DLL sideloading per caricare questa DLL infetta in memoria. Questa, a sua volta, scarica una seconda DLL, collegata a SmartConnect, un tool legittimo di accesso remoto che i cybercriminali hanno modificato per scopi malintenzionati.

Il malware installa successivamente un file chiamato SimpleRunPE.exe, mascherato come RuntimeHost.exe, nella directory del sistema. Gli aggressori stabiliscono l’accesso remoto attraverso sei diversi meccanismi di persistenza: tre attività pianificate, due chiavi di registro, e un collegamento a una cartella di esecuzione automatica.

Miner cryptomonete e rischi

I cybercriminali utilizzano la tecnica “process hollowing” per eseguire il malware all’interno degli strumenti legittimi di Windows. Alla fine dell’installazione, i miner di criptovalute vengono scaricati e configurati per sfruttare la GPU. Gli utenti non si rendono conto dell’utilizzo illegale delle risorse, mentre le criptomonete estratte finiscono nei portafogli dei criminali.

Le misure difensive

Maintenere dispositivi protetti è cruciale per prevenire questi attacchi. Microsoft Defender può rilevare e bloccare tali minacce di cryptojacking. Inoltre, l’esposizione all’accesso remoto illegale mette a rischio la privacy e la sicurezza, poiché i cybercriminali potrebbero rubare dati sensibili o installare ransomware.

Conclusioni

I chatbot AI, strumenti nati per facilitare la vita quotidiana, rischiano ora di essere strumenti di attacco in mani errate. Gli utenti devono rimanere vigili, verificare sempre la provenienza dei link e scaricare file solo da fonti verificate. Le aziende tecnologiche come Microsoft svolgono un ruolo fondamentale nell’identificare e bloccare queste minacce, ma la responsabilità spesso ricade sui consumatori. Solo un’educazione diffusa alla sicurezza può frenare il dilagare delle frodi digitali.