Cybercriminali all'Attacco di Claude AI: Come Riconoscere i Falsi Siti e Proteggere i Tuoi Dati

L'entusiasmo per l'intelligenza artificiale non ha lasciato indifferenti i malintenzionati, pronti a cavalcare l'onda del momento con truffe sempre più mirate. Se già in passato ChatGPT era stato utilizzato come esca, ora è la popolarità di Claude, il chatbot sviluppato da Anthropic, a finire nel mirino. L'attenzione mediatica riservata a questo strumento si sta trasformando in un'arma a doppio taglio, sfruttata dai cybercriminali per penetrare nei sistemi degli utenti e sottrarre dati preziosi.

I ricercatori di Sophos X-Ops hanno individuato una campagna malevola che sfrutta la notorietà di Claude per distribuire pericolosi malware.

Attenzione ai Siti Clone di Chatbot: Il Caso Claude-Pro

Tutto ha avuto inizio con l'analisi di un sito web contraffatto (claude-pro[.]com) che riproduce fedelmente l'aspetto dell'originale (claude.ai). Il layout, la palette cromatica e i caratteri tipografici sono quasi identici, con l'obiettivo di ingannare l'utente meno attento. La differenza, tuttavia, risiede nella sua estrema semplicità: mancano i riferimenti alle diverse funzionalità del chatbot e i link funzionanti sono scarsi, reindirizzando quasi tutti all'inizio della pagina.

La Trappola del Download: Malware Mascherato

Il vero obiettivo dei creatori di questo sito fake è spingere le ignare vittime a scaricare un archivio (un file ZIP dal peso di 505 MB, denominato ad esempio "Claude-Pro-windows-x64.zip"), spacciandolo per l'installer ufficiale dell'applicazione Claude. Una volta aperto l'archivio, all'interno si trova il file Claude.msi che, se avviato, estrae altri file tra cui "NOVupdate.exe", "NOVupdate.exe.dat" e "avk.dll".

Dietro questa apparente normalità si cela un codice dannoso dall'architettura complessa. Sfrutta una dinamica di aggiornamento dei software antivirus G DATA per aggirare le difese e, infine, installare una backdoor sul dispositivo della vittima. Da quel momento, i cybercriminali hanno campo libero per accedere e controllare il computer da remoto.

Una Campagna di Truffe Estesa, Non un Singolo Sito

Mentre il sito contraffatto individuato dai ricercatori sembra non essere più attivo, il pericolo è tutt'altro che scampato. È altamente probabile che altri siti simili siano online, creati con lo stesso intento fraudolento. Questa campagna è considerata particolarmente insidiosa poiché viene promossa attraverso annunci sponsorizzati e risultati di ricerca manipolati, così da raggiungere il maggior numero possibile di utenti.

L'analisi dei ricercatori ha inoltre permesso di risalire al server che ospitava il sito falso, associato al dominio vertextrust-advisors[.]com. La sua homepage fa riferimento alla fornitura di servizi relativi ai rapporti di lavoro e alla consulenza legale. Non si esclude che il gestore sia lo stesso e che anche quest'ultimo possa far parte di un qualche raggiro.

Proteggersi: Mantenere Alta l'Attenzione

La raccomandazione fondamentale rimane sempre la stessa, e seppur banale, non va mai sottovalutata: mantenere alto il livello di attenzione. Diffidare di qualsiasi download sospetto, specialmente se proviene da fonti non ufficiali, è lo strumento migliore per evitare di cadere in queste trappole.

Questa regola d'oro vale sia per l'ambito desktop, come in questo caso specifico, sia per quello mobile. Sui dispositivi portatili, infatti, i cybercriminali diffondono file corrotti anche attraverso forum e canali non ufficiali, spesso promettendo l'accesso a versioni ottimizzate o senza limitazioni degli strumenti AI, tramite link verso APK contraffatti.