In un periodo in cui l’adozione dell’intelligenza artificiale cresce in modo esponenziale, anche le minacce informatiche si evolvono sfruttando la popolarità degli strumenti più noti. Kaspersky ha lanciato l’allarme su una nuova campagna malevola che prende di mira gli utenti alla ricerca di soluzioni LLM offline, come DeepSeek-R1, uno dei modelli linguistici più utilizzati del momento.
Un malware mascherato da intelligenza artificiale
Gli esperti del Global Research & Analysis Team (GReAT) di Kaspersky hanno individuato un trojan sconosciuto, diffuso attraverso un sito di phishing che imita perfettamente la homepage ufficiale di DeepSeek. Pubblicizzato tramite annunci Google Ads associati a parole chiave come “deepseek r1”, il sito spingeva gli utenti a scaricare presunti strumenti per l’utilizzo offline dell’LLM, come Ollama o LM Studio. In realtà, l’obiettivo era uno solo: infettare il sistema con un malware denominato BrowserVenom.
Questo malware si attiva solo su sistemi Windows e richiede privilegi da amministratore per installarsi con successo. Utilizza tecniche avanzate per aggirare le difese di Windows Defender, integrandosi nel sistema operativo per modificare le impostazioni dei browser e forzare il traffico Internet a passare attraverso proxy controllati dai criminali.
Furto di dati e sorveglianza del traffico online
Una volta attivo, BrowserVenom consente agli attaccanti di intercettare password, dati personali e attività di navigazione, minando gravemente la privacy degli utenti. Secondo le analisi di Kaspersky, le infezioni sono già state rilevate in Brasile, Cuba, Messico, India, Nepal, Sudafrica ed Egitto, suggerendo un attacco su scala globale.
La strategia degli hacker sfrutta un trend crescente: sempre più utenti cercano di eseguire modelli AI in locale per ridurre la dipendenza dai servizi cloud, spesso scaricando software open-source da fonti non ufficiali. Questo comportamento, però, apre la porta a rischi elevati, come l’installazione involontaria di keylogger, cryptominer e infostealer.
I consigli di Kaspersky per proteggersi
Lisandro Ubiedo, ricercatore di sicurezza presso Kaspersky GReAT, sottolinea che “la possibilità di eseguire LLM offline è un vantaggio, ma solo se ci si affida a fonti affidabili e si adottano misure di protezione adeguate”. Per prevenire infezioni come quella di BrowserVenom, Kaspersky consiglia di:
- Controllare con attenzione l’URL dei siti visitati, evitando versioni modificate o sospette;
- Scaricare strumenti come Ollama e LM Studio esclusivamente dai siti ufficiali (ollama.com, lmstudio.ai);
- Evitare l’uso di account con privilegi di amministratore per l’attività quotidiana;
- Utilizzare soluzioni di sicurezza aggiornate, capaci di bloccare download malevoli;
- Verificare attentamente la legittimità dei risultati delle ricerche online, soprattutto quelli sponsorizzati.
Una minaccia che sfrutta la fiducia nell’AI
La campagna analizzata da Kaspersky mostra quanto rapidamente gli attori malevoli sappiano adattarsi ai cambiamenti tecnologici, sfruttando falsi assistenti AI e la fama di piattaforme legittime per colpire utenti inconsapevoli. In questo caso, l’imitazione di DeepSeek-R1 e l’uso di Google Ads come vettore di distribuzione mostrano una strategia sofisticata e altamente mirata.
La raccomandazione è chiara: diffidare delle scorciatoie, verificare le fonti e proteggere i propri dispositivi con strumenti di sicurezza efficaci. Con l’espansione dell’intelligenza artificiale, il panorama delle minacce evolve. E lo fa più velocemente che mai.
