{"id":29500,"date":"2025-03-13T10:54:21","date_gmt":"2025-03-13T08:54:21","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29500"},"modified":"2025-03-13T10:54:21","modified_gmt":"2025-03-13T08:54:21","slug":"trojans-disguised-as-deepseek-grok-clients","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/trojans-disguised-as-deepseek-grok-clients\/29500\/","title":{"rendered":"Trojan che fingono di essere client DeepSeek e Grok"},"content":{"rendered":"

All\u2019inizio del 2025, il chatbot cinese DeepSeek ha fatto il suo ingresso sulla scena dell\u2019intelligenza artificiale. Ha provocato molte discussioni e polemiche in tutto il mondo: difficilmente potevamo non notare la somiglianza del suo logo con il nostro<\/a>, i confronti con ChatGPT non sono mancati<\/a> e in Italia, Corea del Sud, Australia e altri paesi, DeepSeek \u00e8 stato bloccato del tutto<\/a>. L\u2019entusiasmo \u00e8 stato e rimane elevato, anche tra i cybercriminali.<\/p>\n

Abbiamo scoperto diversi gruppi di siti che imitano il sito Web ufficiale del chatbot e distribuiscono codice dannoso sotto le mentite spoglie di quello che sembra un client legittimo. Per scoprire esattamente come operano questi criminali informatici e come utilizzare l\u2019intelligenza artificiale in modo sicuro, continua a leggere\u2026<\/p>\n

Script dannosi e geofencing<\/h2>\n

Sono stati rilevati diversi schemi di distribuzione di malware, tutti caratterizzati dall\u2019utilizzo di falsi siti Web DeepSeek. La differenza sta in cosa e come \u00e8 stato distribuito attraverso questi siti. Questo articolo analizza approfonditamente uno di questi schemi; per maggiori dettagli sugli altri, consulta il nostro rapporto completo su Securelist<\/a>.<\/p>\n

Cosa penseresti se arrivassi su un sito Web con il dominio deepseek-pc-ai[.]com<\/em> o deepseek-ai-soft[.]com<\/em>? Probabilmente quello che penseresti di trovare \u00e8 un software correlato a DeepSeek. E che tipo di software potrebbe essere? Un client DeepSeek, ovviamente! E in effetti, vedrai subito il pulsante luminoso Scarica<\/strong> e quello un po\u2019 pi\u00f9 opaco Inizia ora<\/strong> che danno il benvenuto ai visitatori del sito, come nell\u2019originale.<\/p>\n

\"Pagina<\/a>

Pagina Web falsa di DeepSeek<\/p><\/div>\n

Qualsiasi pulsante venga selezionato, verr\u00e0 avviato il download di un programma di installazione. Ma c\u2019\u00e8 un problema: una volta avviato, invece di installare DeepSeek, il programma di installazione accede a URL dannosi e manipola gli script per attivare il servizio SSH in Windows, configurandolo in modo che funzioni con le chiavi degli autori degli attacchi. Ci\u00f2 consente loro di connettersi in remoto al computer della vittima, che non dispone nemmeno di un client DeepSeek Windows come consolazione\u2026 che, tra l\u2019altro, non esiste.<\/p>\n

\u00c8 interessante notare che i siti falsi utilizzano il geofencing<\/a>, ovvero limitano l\u2019accesso in base alla regione dell\u2019indirizzo IP. Ad esempio, gli utenti russi su questi domini hanno visto un semplice sito stub con testi vuoti su DeepSeek, molto probabilmente generato da DeepSeek stesso o da un diverso modello linguistico di grandi dimensioni<\/a>. I visitatori provenienti da altri paesi, tuttavia, venivano indirizzati al sito dannoso che distribuisce il falso client.<\/p>\n

Un milione di visualizzazioni su X<\/h2>\n

Il vettore principale per la distribuzione di link a URL dannosi sono i post sul social network X (ex Twitter). Uno dei post pi\u00f9 popolari (ora eliminato) \u00e8 stato pubblicato dall\u2019account della startup australiana Lumina Vista che, secondo fonti aperte<\/a>, non ha pi\u00f9 di 10 dipendenti. L\u2019account dell\u2019azienda \u00e8 ancora agli inizi: ha ottenuto l\u2019ambito segno di spunta blu solo a febbraio 2025 e vanta solo una decina di post e meno di 100 iscritti. Tuttavia, il post che promuoveva il falso sito DeepSeek ha ottenuto 1,2 milioni di visualizzazioni e pi\u00f9 di 100 ripubblicazioni. Un po\u2019 sospetto, no? Abbiamo esaminato gli account che hanno ripubblicato il post e abbiamo concluso che potrebbero essere dei bot, poich\u00e9 tutti utilizzano la stessa convenzione di denominazione e gli stessi identificatori nella sezione bio. Tra l\u2019altro, \u00e8 molto probabile che l\u2019account di Lumina Vista sia stato semplicemente hackerato e utilizzato per promuovere a pagamento il post pubblicitario degli autori dell\u2019attacco.<\/p>\n

\"1,2<\/a>

1,2 milioni di visualizzazioni su un account quasi vuoto? Sembra una promozione a pagamento<\/p><\/div>\n

Nei commenti, alcuni utenti hanno sottolineato che il collegamento porta a un sito dannoso, ma erano una minoranza: gli altri esprimevano semplicemente opinioni su DeepSeek, Grok e ChatGPT. Tuttavia, nessuno di quelli che hanno commentato ha notato l\u2019aspetto ovvio: DeepSeek non ha un client nativo per Windows ed \u00e8 possibile accedervi solo tramite un browser. \u00c8 anche possibile eseguire DeepSeek localmente<\/a>, ma ci\u00f2 richiede un software specializzato.<\/p>\n

Come usare l\u2019intelligenza artificiale in modo sicuro<\/h2>\n

Al momento non \u00e8 facile valutare la portata di questo e di altri schemi dannosi che coinvolgono pagine DeepSeek false. Ma una cosa \u00e8 certa: queste campagne sono massicce e non mirate a utenti specifici. Eppure si stanno sviluppando molto rapidamente: subito dopo l\u2019annuncio di Grok-3, gli autori degli attacchi hanno iniziato a offrire di scaricare il suo client sia dal dominio v3-grok[.]com<\/em>, che da\u2026 v3-deepseek[.]com<\/em>! A dirla tutta\u2026 Grok, DeepSeek: qual \u00e8 la differenza?<\/p>\n

Senza protezione affidabile<\/a>, qualsiasi appassionato di intelligenza artificiale \u00e8 a rischio. Ecco perch\u00e9 \u00e8 fondamentale seguire le norme e le raccomandazioni di sicurezza quando si utilizza l\u2019intelligenza artificiale.<\/p>\n