Kaspersky: il malware Gipy ruba le password fingendosi un’applicazione IA

Kaspersky ha scoperto una nuova campagna di malware che sfrutta la crescente popolarità degli strumenti di intelligenza artificiale camuffandosi da generatore vocale basato sull’AI. Il malware sfrutta GitHub per memorizzare archivi protetti da password come payload finale. Questo payload contiene password e data stealer, consentendo ai criminali informatici di ottenere vari tipi di dati, prelevare criptovalute e scaricare altri software dannosi.

In una recente campagna analizzata da Kaspersky, l'infezione inizia quando un utente scarica un file dannoso da un sito web di phishing, che imita un'applicazione di intelligenza artificiale utilizzata per modificare le voci. Questi siti sono ben realizzati e appaiono identici a quelli legittimi. I link ai file dannosi sono spesso collocati su siti web di terze parti compromessi che utilizzano WordPress.

Dopo aver selezionato il pulsante "Installa", si avvia il programma di installazione di un'applicazione legittima, ma in background uno script esegue attività dannose. Durante la sua esecuzione, Gipy scarica e lancia malware di terze parti da GitHub raggruppati in archivi ZIP protetti da password. Gli esperti di Kaspersky hanno analizzato oltre 200 di questi archivi e la maggior parte di quelli presenti su GitHub contiene Lumma, un noto password stealer. Tuttavia, gli esperti hanno trovato anche Apocalypse ClipBanker, un cryptominer Corona modificato e diversi RAT, tra cui DCRat e RADXRat. Inoltre, hanno scoperto alcuni password stealer come RedLine e RisePro, uno stealer chiamato Loli e una backdoor detta TrueClient, entrambi basati su Golang.

I criminali informatici che si celano dietro Gipy non mostrano una particolare preferenza geografica, prendendo di mira gli utenti di tutto il mondo. I primi cinque Paesi colpiti sono Russia, Taiwan, Stati Uniti, Spagna e Germania.

"Gli strumenti di IA offrono notevoli vantaggi e rivoluzionano la nostra vita quotidiana, ma gli utenti devono rimanere vigili. I criminali informatici stanno sfruttando il sempre maggior interesse verso l'IA per diffondere malware e condurre attacchi di phishing. L'intelligenza artificiale viene utilizzata come esca da oltre un anno e non ci aspettiamo che questa tendenza si attenui", ha commentato Oleg Kupreev, Security Expert di Kaspersky.