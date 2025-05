I ricercatori di Cisco Talos hanno scoperto nuovi malware, tra cui i ransomware CyberLock e Lucky_Gh0$t, che vengono distribuiti tramite installer di tool AI fasulli. I cybercriminali sfruttano la crescente popolarità dell’intelligenza artificiale generativa per ingannare gli utenti e le aziende.

Pericolo ransomware dai tool AI

I malware vengono pubblicizzati principalmente su Telegram, social media e motori di ricerca (tramite la tecnica del SEO poisoning). In tutti i casi sono presenti i link all’installer fasullo o ai siti che ospitano gli installer. Quest’ultimo metodo viene utilizzato per distribuire il ransomware CyberLock. Il sito è simile a quello di Novaleads, una piattaforma di monetizzazione per aziende.

L’ignara vittima crede di ottenere un tool AI gratis per 12 mesi, invece scarica un archivio ZIP che contiene un eseguibile .NET, ovvero il loader del ransomware. CyberLock cifra diversi tipi di file e mostra un file di testo con la richiesta di riscatto (50.000 dollari in Monero).

Lucky_Gh0$t è invece nascosto in un archivio ZIP auto-estraente che dovrebbe essere l’installer di ChatGPT 4.0 Premium. In questo caso, i cybercriminali chiedono di essere contattati tramite l’applicazione di messaggistica Session per negoziare il pagamento e ricevere la chiave per decifrare i file.

Gli esperti di Cisco Tales hanno infine individuato un nuovo malware distruttivo denominato Numero. Viene distribuito tramite un falso installer di InVideo AI. Viene eseguito in un loop infinito e sovrascrive titolo delle finestre, pulsanti e contenuto con la stringa “1234567890”, rendendo inutilizzabile Windows.

Gli utenti devono prestare molta attenzione a queste minacce. I tool AI più popolari possono essere scaricati dai rispetti siti o dagli app store di Apple e Google.