Aggiornamenti recenti Maggio 27th, 2026 3:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SEO poisoning e chatbot AI dirottati per un malware miner
- Kaspersky: la GenAI mette alla prova il riconoscimento facciale
- Kaspersky: gli agenti IA cambiano la fiducia aziendale
- HackerOne taglia drasticamente le ricompense dei bug bounty
- Attacco ai router Huawei dietro blackout telecom del Lussemburgo
SEO poisoning e chatbot AI dirottati per un malware miner
Le campagne di SEO poisoning non sono certo una novità nel panorama cybercriminale. Da decenni gli attaccanti manipolano i motori di ricerca per spingere siti malevoli tra i primi risultati, inducendo gli utenti a scaricare malware credendo di visitare pagine legittime. Ma una nuova campagna analizzata da Microsoft Security Blog mostra un’evoluzione particolarmente interessante del fenomeno: gli attori malevoli stanno iniziando a sfruttare anche i chatbot AI per distribuire malware destinato al cryptomining GPU.
Secondo i ricercatori, gli attaccanti stanno prendendo di mira utenti molto specifici: appassionati hardware, gamer e power user che dispongono di GPU ad alte prestazioni, sistemi ideali per attività di cryptojacking ad alta redditività.
Dalla SEO poisoning ai chatbot AI
La campagna sfrutta una combinazione di tecniche di social engineering e manipolazione algoritmica. Gli utenti cercano online utility popolari come CrystalDiskInfo, HWMonitor, Display Driver Uninstaller o FurMark e vengono indirizzati verso domini controllati dagli attaccanti che imitano i siti ufficiali. La parte più interessante della ricerca riguarda però l’utilizzo dei Large Language Model. Microsoft spiega di aver osservato casi in cui utenti che chiedevano consigli di download a chatbot AI ricevevano link verso domini malevoli inseriti direttamente nelle risposte generate dal modello.
Non si tratta ancora di un attacco strutturato contro gli LLM stessi, ma piuttosto di una forma di “AI search poisoning”, cioè un’estensione della classica SEO poisoning all’interno degli ecosistemi conversazionali basati su AI. Il concetto è semplice ma estremamente efficace: se gli utenti iniziano a sostituire Google con chatbot AI per trovare software e utility, gli attaccanti seguiranno inevitabilmente lo stesso flusso.
Come funziona la catena di infezione
La campagna descritta da Microsoft non punta alla massima diffusione possibile. L’obiettivo sembra essere invece la selezione accurata delle vittime più redditizie. I software impersonati dagli attaccanti sono infatti tutti associati a utenti enthusiast, overclocker o gamer avanzati. Questo consente agli operatori della campagna di aumentare la probabilità di compromettere sistemi dotati di GPU discrete di fascia alta, molto più profittevoli per il mining rispetto ai normali PC consumer.
Secondo l’analisi tecnica, gli utenti vengono indirizzati verso siti clone costruiti per sembrare identici alle pagine ufficiali delle utility più note. Una volta scaricato il software, il payload avvia una catena di infezione che include componenti di persistenza e accesso remoto. Tra gli elementi più preoccupanti figura l’abuso di ScreenConnect, utilizzato per mantenere accesso persistente ai sistemi compromessi. Questo dettaglio è particolarmente rilevante perché suggerisce che la campagna non sia limitata al solo cryptomining. Microsoft sottolinea infatti che gli accessi ottenuti potrebbero essere successivamente sfruttati anche per furto dati, movimenti laterali e distribuzione ransomware. La presenza di strumenti di remote management rende quindi l’infezione potenzialmente molto più pericolosa di un semplice miner GPU.
Il ruolo crescente della SEO poisoning nell’ecosistema malware
La SEO poisoning sta diventando una delle tecniche preferite dai cybercriminali per ottenere accesso iniziale. Secondo ReliaQuest, le rilevazioni di malware collegate a campagne SEO poisoning sono cresciute del 60% in sei mesi tra il 2023 e il 2024. Anche Zscaler aveva già osservato campagne analoghe basate su keyword AI, utilizzate per distribuire malware come Vidar, Lumma e Legion Loader attraverso siti ottimizzati con tecniche Black Hat SEO. La novità è che ora il fenomeno sembra estendersi oltre i motori di ricerca tradizionali, entrando nei flussi conversazionali generati dai chatbot AI: non viene compromessa l’AI in sé, ma il contesto informativo che l’AI utilizza per rispondere agli utenti.
Condividi l'articolo
- AI security, chatbot AI, cryptojacking, cryptomining, cybersecurity, GPU mining, malware, Microsoft Defender, ScreenConnect, SEO poisoning
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità... -
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in... -
Attacco ai router Huawei dietro blackout telecom del... Un attacco informatico basato su una vulnerabilità... -
MSHTA, lo “zombie” di IE che alimenta attacchi su... Nonostante Internet Explorer sia ormai ufficialmente morto... -
NGINX Rift, rischio RCE per una falla rimasta nascosta 18... Una vulnerabilità critica rimasta nascosta per quasi due...
Ransomware: la serie
No posts found.