Con la crescente popolarità dei modelli AI, non stupisce che i cyber criminali abbiano pensa di sfruttarne nomi e brand per diffondere malware. In un caso documentato da Malwarebytes, un sito web costruito per sembrare la pagina ufficiale di download di ChatGPT distribuisce malware a utenti Windows e Mac. Due payload distinti, modellati sulle caratteristiche di ciascun sistema operativo e sugli obiettivi economici che gli attaccanti si aspettano di raggiungere su ciascuna piattaforma.

Il dominio utilizzato nella campagna è openew.app e il suo layout è una copia fedele della pagina reale di OpenAI: tema scuro, branding OpenAI, testo promozionale identico all'originale, pulsanti di download distinti per macOS e Windows. Niente che, a prima vista, possa insospettire un utente. C’è anche un dettaglio tecnico che contribuisce a rendere la truffa più convincente: il dominio .app è gestito da Google e impone per default connessioni HTTPS, quindi il browser mostra il classico lucchetto nella barra degli indirizzi, che gli utenti associano a un sito legittimo e sicuro.

Chi clicca sul pulsante di download Windows riceve un file chiamato Chat_GPT.exe. Chi clicca su quello macOS scarica un'immagine disco denominata ChatGpt.dmg. L'esperienza è identica a quella di un software legittimo. L’eseguibile per Windows è assemblato quasi interamente con strumenti legittimi e gratuiti: l'installer sfrutta il toolkit open source Inno Setup usato da migliaia di applicazioni reali, e include il framework Electron basato su Chromium che è alla base di software noti come Slack e Discord, con tanto di librerie standard.

All'avvio, il programma crea file in una sottocartella dedicata all'interno della directory AppData di Windows, lancia un eseguibile proprietario e avvia PowerShell con parametri che disabilitano le restrizioni di esecuzione e istruiscono il motore di scripting a leggere i comandi dallo standard input. Questo significa che le istruzioni malevole non vengono mai scritte su disco, dove gli antivirus potrebbero individuarle. La telemetria comportamentale ha registrato traffico HTTP verso un indirizzo IP esterno, attraverso un endpoint denominato laravel, che suggerisce l'uso di un framework web comune, spesso scelto dagli attaccanti proprio perché diffuso e difficile da distinguere dal traffico legittimo. Al momento dell'analisi, solo nove motori su 69 presenti su VirusTotal segnalavano il file come malevolo.

Una volta in esecuzione, il malware apre un canale di comunicazione verso un server controllato dagli attaccanti. L'obiettivo è sottrarre credenziali, dati del browser, cookie di sessione e qualunque altra informazione utile alla compromissione degli account della vittima.

Sul versante Apple, il file ChatGpt.dmg contiene Atomic Stealer, noto anche come AMOS, un infostealer già documentato in numerose campagne contro dispositivi Apple, che è parte di una piattaforma malware-as-a-service documentata dal 2023.

AMOS è un prodotto commerciale fra i più costosi in circolazione: il suo noleggio è di circa 3.000 dollari al mese, pagati in criptovaluta. Per fare un confronto, Lumma, che è uno degli infostealer Windows più diffusi, ha quotazioni a partire da circa 250 dollari mensili. All'avvio, Amos esegue una catena di comandi AppleScript per tentare, in modo silenzioso, di verificare la password dell'utente attraverso i servizi di directory del sistema operativo. Se il tentativo fallisce, mostra una finestra che imita un avviso di sistema macOS, con tanto di icona del lucchetto, che chiede di inserire la password del dispositivo per continuare. Qualunque cosa l'utente digiti viene validata contro lo stesso comando di sistema: se corrisponde alla password reale, il malware la acquisisce in chiaro.

Da quel momento inizia la fase di raccolta dati. Amos copia il keychain di macOS, colleziona cookie e login salvati da 12 browser basati su Chromium più Firefox e Waterfox. Estrae i dati di sessione di Telegram, che possono essere usati per dirottare conversazioni e contatti. Scandisce 16 directory associate a wallet di criptovalute, tra cui Ledger Live, Trezor Suite, Exodus, Electrum e Sparrow. Tutto il materiale raccolto viene compresso in un archivio temporaneo e trasmesso a un server con indirizzo nascosto nel codice del malware.

C'è un'ulteriore funzionalità di Amos che, secondo Malwarebytes, giustifica da sola il canone mensile salato. Dopo il furto dei dati, il malware scarica da un secondo server versioni trojanizzate di Ledger Live, Ledger Wallet e Trezor Suite, che sembrano identiche alle applicazioni originali, ma che in realtà sono controllate dagli attaccanti.

Il malware tenta poi di eliminare le versioni legittime e di sostituirle con queste copie false. Se in precedenza ha acquisito la password dell'utente, forza la sostituzione con privilegi di amministratore. Se la password non è disponibile, ricorre a un comando di eliminazione normale, che ha comunque buone probabilità di riuscire se le applicazioni si trovano in una directory scrivibile dall'utente. La conseguenza è che, la prima volta che la vittima aprirà quello che crede essere il proprio wallet, si troverà in realtà all'interno di un'applicazione che appartiene agli attaccanti.

Malwarebytes ha analizzato anche il modello di costo dell'intera operazione, che rivela una filiera criminale particolarmente efficiente. Il dominio openew.app costa circa 15 dollari all'anno attraverso un normale registrar. La pagina è una copia del sito reale di OpenAI, ottenibile in pochi minuti con strumenti di clonazione già disponibili. L'infrastruttura Windows  potrebbe aver richiesto meno di 100 dollari di investimento iniziale. Il costo ricorrente significativo è solo quello di Amos per la componente macOS, a cui si aggiunge, eventualmente, il costo del traffico verso il sito, ottenuto tramite annunci pubblicitari a pagamento, SEO poisoning, spam su YouTube o link diffusi in community Discord e Telegram dedicate all'AI. Alcuni di questi canali hanno un costo. Altri sono praticamente gratuiti.

Perché i brand AI sono esche ideali

Uno dei motivi per i quali questa campagna funziona, e perché episodi simili si moltiplicheranno, è che per molti utenti, i software AI sono una novità e chi vuole installarne uno per la prima volta spesso cerca con il motore di ricerca "scarica ChatGPT". L’altro è che la grande popolarità dell’AI sta attirando l’attenzione generale generando ottime opportunità per attaccanti opportunisti come i cyber criminali.

Non è un caso che ChatGPT (fino a poche settimane fa il più popolare) sia già stato usato come esca per distribuire malware via social; e che un'analisi presentata da Kaspersky aveva già inquadrato l'AI come esca. Quello che emerge dall'analisi Malwarebytes è la maturità crescente di questo schema.

Che cosa fare se si ha il dubbio di avere scaricato la versione falsa e malevola? Malwarebytes consiglia di usare un dispositivo sicuramente incontaminato per disconnettersi da tutti gli account importanti usando la funzione "disconnetti ovunque" di ciascun servizio (email, banking, cloud storage, GitHub, Discord, Telegram, exchange di criptovalute); di cambiare le password a partire dall'account email principale; di ruotare eventuali API key, chiavi SSH e credenziali cloud che erano un uso sul dispositivo potenzialmente compromesso.

Per chi detiene criptovalute, la priorità è spostare i fondi usando un dispositivo separato e pulito. Su macOS in particolare, Malwarebytes raccomanda di non aprire Ledger Live né Trezor Suite sul dispositivo infetto prima di aver reinstallato il sistema operativo: la funzione di sostituzione dei wallet potrebbe aver già sostituito le applicazioni legittime. Infine, se il dispositivo è aziendale, bisogna contattare il team IT o di security.