LOGIN
L’intelligenza artificiale sta rapidamente diventando una presenza quotidiana nella vita lavorativa, soprattutto negli ambienti d’ufficio. Dai suggerimenti automatici nelle e-mail alla generazione di documenti, fino all’analisi di grandi volumi di dati, l’AI sta trasformando il modo in cui comunichiamo, prendiamo decisioni e gestiamo il tempo.
Secondo uno studio di McKinsey (società di consulenza strategica che svolge ricerche settoriali di mercato per supportare la propria offerta) del marzo 2025, oltre il 71% delle aziende ha già integrato strumenti di AI in almeno una funzione aziendale, con un impatto significativo in ambiti come il customer service, il marketing e l’IT, e più del 90% dei lavoratori si dichiara familiare con queste tecnologie. Se da un lato questa evoluzione promette efficienza e produttività, dall’altro apre nuove sfide in termini di sicurezza, gestione dei dati e consapevolezza dei rischi digitali.
Ci sono in particolare diversi punti di attenzione da considerare quando viene introdotta l’intelligenza artificiale sul lavoro. Possono infatti crearsi nuovi varchi di sicurezza che gli attaccanti possono usare per colpire anche nel contesto aziendale.
La tipologia di attacchi
Esistono attacchi che sfruttano malware di natura infostealer, ovvero software dannosi il cui obiettivo è infiltrarsi silenziosamente nella macchina della vittima per estrarre qualsiasi informazione di valore, come ad esempio dati di login, bancari, o altamente riservati.
Ciò che rende questo tipo di malware particolarmente rilevante nell’attualità non è tanto la sua natura, dato che sono diversi anni che se ne rileva l’esistenza, ma il nuovo vettore d’attacco che lo ha reso molto attuale e pericoloso: le false piattaforme AI. Un caso che è stato molto riportato nella stampa specialistica e che costituisce un ottimo caso di studio di queste nuove tipologie di attacco è NoodlePhile Stealer.
Perché Noodlephile Stealer è così insidioso?
NoodlePhile si introduce sui computer in maniera non troppo diversa da malware suoi simili, ovvero manipolando l’utente per convincerlo ad installare un file eseguibile infetto.
La parte interessante risiede nella manipolazione stessa: i creatori del malware, per spingere l’utente ad installare il software infetto, hanno costruito appositamente un’intera piattaforma AI falsa (chiamata Luma Dreammachine) che promette di poter creare e modificare video con l’utilizzo dell’AI generativa, ma che di fatto non ha alcuna effettiva funzionalità. Inoltre, gioca sul fatto che propone i suoi (falsi) servizi gratuitamente. Insomma, un perfetto specchietto per le allodole!
Per aumentare la fiducia delle potenziali vittime, la piattaforma è stata ampiamente pubblicizzata sui social con campagne mirate facenti uso di bot che si fingevano consumatori.
Come è ormai noto, i social network sono molto efficaci per veicolare attacchi, in quanto gli utenti si sentono al sicuro nella loro cerchia di amici e persone fidate, anche se questa sensazione è falsa.
Una volta ottenuta la fiducia dell’utente, la piattaforma lo invita ad inserire un suo file video per, teoricamente, riceverne una versione modificata dall’AI.
Purtroppo, quello che l’utente scarica sul proprio computer non è il video modificato come desiderava, bensì un programma eseguibile che, una volta aperto e autorizzato, è in grado di accedere a tutta la memoria fissa del sistema. In questo modo l’attaccante può:
- Ottenere le informazioni di login che sono memorizzate nel browser;
- Ottenere le informazioni di eventuali wallet di criptovalute dell’utente, qualora l’utente ne avesse;
- In alcuni casi di attacco particolarmente avanzato, prendere il controllo da remoto della macchina della vittima.
Le leve su cui si basa l’inganno sono principalmente due: da un lato la FOMO (Fear Of Missing Out), il fenomeno che spinge le persone a seguire le ultime tendenze per paura rimanere esclusi, dall’altro la fiducia nei confronti della piattaforma creata tramite campagne social, che, grazie a qualche piccolo accorgimento tecnologico, non viene persa finché l’attacco non ha già raggiunto il proprio obiettivo.
È facile poi comprendere perché un attacco del genere possa avere successo, dato che non solo il sito presenta un’interfaccia grafica pulita e apparentemente professionale (come da immagine sottostante), ma è anche supportato dalla campagna pubblicitaria social menzionata precedentemente, che rende ulteriormente credibile la piattaforma.
Un altro dettaglio importante è che l’utente non si rende conto di niente grazie a due accorgimenti molto ingannevoli che il produttore del malware ha adottato.
In primo luogo, il file che viene scaricato si chiama Video Dream MachineAI.mp4.exe, che, come si può notare dall’estensione reale del nome file, è un eseguibile (.exe). L’utente però difficilmente se ne accorge, a causa di un’impostazione standard di Windows 11 che nasconde le estensioni dei file quando li si visualizza normalmente sul proprio PC. Ecco un esempio di come un file si presenta di default: gli attaccanti possono sfruttare questa impostazione per creare eseguibili che si presentano in modo differente, come nella possibile ricostruzione grafica seguente.
Notiamo infatti come il file si presenti come un video MP4, con l’unico “indizio” dell’inganno costituito dallo scudetto, che indica che il file scatenerà, quando cliccato, l’esecuzione di un programma con privilegi amministrativi.
L’utente inesperto, tuttavia, spesso ignora questo segnale.
In secondo luogo, quando avviato, l’eseguibile non richiede permessi “allarmanti” per l’utente, perché porta in dote un certificato (falsificato) che non attiva i classici avvisi che si visualizzano nel momento in cui l’applicazione che si esegue o si installa non è firmata da un’entità affidabile.
L’utente a questo punto clicca sull’eseguibile e si trova davanti un’interfaccia simile a CapCut (noto editor video usato anche nei più famosi social network, come TikTok): per quanto questo non rispecchi le aspettative dell’utente di trovarsi il proprio video editato, è sufficientemente plausibile che serva un editor video per raggiungere il risultato finale atteso, perciò diversi utenti non si allarmano. Che se ne siano accorti o meno, purtroppo l’esito è già deciso nel momento in cui avviano l’applicativo; il malware ha già agito e i dati sono già stati sottratti.
Come proteggersi?
In azienda ma anche in ambito personale, si raccomanda di controllare che i dispositivi e gli antivirus siano sempre correttamente aggiornati: minacce come quella descritta in questo articolo possono essere bloccate se vengono tempestivamente riconosciute dall’antivirus.
Ma soprattutto, è importante non lasciarsi prendere dalla fretta o dall’eccitazione per una nuova funzionalità: l’attenzione al dettaglio (in questo caso, ad esempio, prendere il tempo per analizzare il file scaricato e accorgersi del nome falso e della tipologia non coerente con l’apparenza) e la prudenza sono ottimi strumenti che spesso contribuiscono a proteggere l’utente e l’azienda da possibili attacchi.
