Torniamo a parlare di minacce come i finti portali di note piattaforme, che possono portare seri problemi a coloro che possono finire in trappola. In questo caso parliamo di DeepSeek e Grok, ovvero due degli strumenti più noti del web per la AI di tipo generativo, il primo dei quali in rapida ascesa e protagonista di un boom iniziale che ha portato scompiglio nei mercati di tutto il mondo. Dopo il furore iniziale, come raccontato anche su questo blog, ci sono state anche molte perplessità sulla legittimità del chatbot di origine cinese per quel che riguarda il trattamento dei dati immessi, tanto che nel nostro paese è stato anche bloccato dopo un brevissimo periodo.
La minaccia che raccontiamo oggi invece riguarda la segnalazione, fatta dai tecnici di Kaspersky, della presenza di un gran numero di portali illegittimi che invitano coloro che li visitano ad effettuare il download di piattaforme DeepSeek e Grok da usare sui propri device. Iniziamo dicendo che questi client sono ufficialmente inesistenti, ovvero mai proposti né rilasciati. Continuiamo poi parlando di come viene distribuita la truffa, ovvero tramite alcuni “xeet” presenti sulla piattaforma X, utilizzando URL malevoli posti sotto a pubblicazioni veicolati su vari profili. Uno in particolare, ovvero quello pubblicato da una start-up australiana con pochissimi followers, ha raggiunto più di un milione di visualizzazioni e tantissime condivisioni piuttosto sospette. L’ipotesi principale è che sia tutta opera dei bot e che il profilo della start-up sia stato verosimilmente hackerato per poter poi pubblicare quel contenuto.
Nel post si rimanda a URL molto simili o contenenti, ad esempio, la parola deepseek, collegandosi ai quali troviamo delle landing page contenenti tutti i loghi del caso e un pulsante per effettuare il download, che come detto non porta all’installazione del client desiderato ma di malware che rendono gli hacker capaci di effettuare operazioni da remoto via SSH nei device Windows colpiti. Finora abbiamo fatto l’esempio di DeepSeek, ma come anticipato questi URL dannosi sono stati notati anche per Grok, soprattutto dopo che è stata annunciata la nuova versione dello strumento di Gen-AI firmato dall’azienda di Elon Musk.
In questo caso gli hacker non stanno portando avanti attacchi mirati, ma puntano tutto sulla campagna di tipo massiccio, cercando di coinvolgere quante più vittime possibile. Un fatto piuttosto curioso è invece legato al geofencing, ovvero la limitazione della visualizzazione delle pagine di atterraggio solo da determinati IP escludendo quelli di alcuni paesi. Kaspersky a tal proposito spiega che collegandosi da un IP russo la pagina non viene visualizzata come per gli altri paesi, ma vengono mostrati solo dei testi.
Ovviamente gli utenti più sprovveduti, se non protetti adeguatamente, rischiano di finire in queste trappole solo perché intenzionati ingenuamente a provare questi strumenti di AI. Per questo è necessario coprirsi da ogni rischio utilizzando un po’ di attenzione in più, specialmente sugli URL delle pagine di atterraggio. Inoltre, è sempre importante fare attenzione ai dati che inseriamo su ogni tipo di strumento, poiché in certi casi le distrazioni possono portare a perdite di informazioni importanti o alla perdita degli account.
Fonte: 1
