{"id":30330,"date":"2025-12-11T11:06:14","date_gmt":"2025-12-11T09:06:14","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30330"},"modified":"2025-12-11T11:13:38","modified_gmt":"2025-12-11T09:13:38","slug":"syncro-remote-admin-tool-on-ai-generated-fake-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/syncro-remote-admin-tool-on-ai-generated-fake-websites\/30330\/","title":{"rendered":"Attacchi tramite Syncro e siti Web generati dall’AI"},"content":{"rendered":"

Di recente \u00e8 stata rilevata una nuova campagna dannosa che utilizza un approccio piuttosto intrigante. L\u2019autore dell\u2019attacco crea le proprie build firmate di uno strumento di accesso remoto legittimo (RAT). Per distribuirli, utilizzano un servizio basato sull\u2019intelligenza artificiale per generare in massa pagine Web dannose che si mascherano in modo convincente da siti ufficiali di varie applicazioni.<\/p>\n

Continua a leggere per scoprire come funziona questo attacco, perch\u00e9 \u00e8 particolarmente pericoloso per gli utenti e come proteggersi.<\/p>\n

Come funziona l\u2019attacco<\/h2>\n

Sembra che l\u2019utente malintenzionato stia utilizzando diverse opzioni di launchpad per i propri attacchi. In primo luogo, stanno chiaramente puntando a un numero significativo di utenti che sbarcano sulle proprie pagine false tramite semplici ricerche su Google. Questo perch\u00e9 i siti falsi normalmente hanno indirizzi che corrispondono o sono molto vicini a ci\u00f2 che gli utenti stanno cercando.<\/p>\n

\"Siti

Esaminando i risultati di ricerca di Google, a volte \u00e8 possibile individuare un gruppo di siti falsi di Pok\u00e9mon che si spacciano per legittimi. In questo caso, stiamo esaminando i cloni Polymarket.<\/p><\/div>\n

In secondo luogo, utilizzano campagne e-mail dannose come alternativa. In questo scenario, l\u2019attacco inizia quando l\u2019utente riceve un\u2019e-mail contenente un collegamento a un sito Web falso. Il contenuto potrebbe avere il seguente aspetto:<\/p>\n

Gentili titolari di $DOP,
\nla finestra di migrazione da DOP-v1 a DOP-v2 \u00e8 stata ufficialmente chiusa, con oltre 8 miliardi di token migrati correttamente.
\nSiamo lieti di annunciare che il Portale reclami DOP-v2 \u00e8 ora APERTO!
\nTutti i titolari di $DOP ora possono visitare il portale per richiedere in modo sicuro i propri token ed entrare nella fase successiva dell'ecosistema.
\nRichiedi subito i token DOP-v2 https:\/\/migrate-dop{dot}org\/
\nBenvenuti in DOP-v2: un capitolo pi\u00f9 forte, pi\u00f9 intelligente e pi\u00f9 gratificante inizia oggi.
\nGrazie per aver fatto parte di questo viaggio.
\nIl team DOP<\/code><\/p>\n

\"Falso

Un falso sito Web Avira segnala una vulnerabilit\u00e0 e consiglia di scaricare il relativo \u201caggiornamento\u201d<\/p><\/div>\n

Gli autori dell\u2019attacco stanno quindi sfruttando anche una tattica nota come scareware<\/a>: imporre agli utenti un\u2019applicazione non sicura con il pretesto di proteggersi da una minaccia immaginaria.<\/p>\n

\"Sito

Una pagina Dashlane falsa avverte di \u201cun\u2019esposizione di metadati di criptaggio ad alta gravit\u00e0 che influisce sulla sincronizzazione dell\u2019inoltro del cloud\u201d, qualunque cosa ci\u00f2 significhi. E, naturalmente, non \u00e8 possibile correggerlo a meno che non scarichi qualcosa<\/p><\/div>\n

Siti Web falsi creati con Lovable<\/h2>\n

Nonostante le differenze nei contenuti, i siti Web falsi coinvolti in questa campagna dannosa condividono diverse funzionalit\u00e0 comuni. Per i principianti, la maggior parte dei relativi indirizzi viene costruita in base alla formula {popular app name} + desktop.com<\/em>, un URL che corrisponde molto a una query di ricerca ovviamente comune.<\/p>\n

Inoltre, le pagine false stesse sembrano abbastanza professionali. \u00c8 interessante notare che l\u2019aspetto dei siti falsi non replica esattamente il design degli originali: non si tratta di cloni diretti. Piuttosto, sono variazioni molto convincenti su un tema. Ad esempio, possiamo esaminare alcune versioni false della pagina del portafoglio di cryptovaluta Lace. Uno di questi ha il seguente aspetto:<\/p>\n

\"Sito

La prima variante del sito Web di Lace falso<\/p><\/div>\n

Un altro \u00e8 simile a quanto segue:<\/p>\n

\"Un

La seconda variante del sito Web falso di Lace<\/p><\/div>\n

Questi siti Web falsi assomigliano molto al sito Web di Lace originale, ma sono comunque diversi da esso in molti modi ovvi:<\/p>\n

\"Il

Le versioni false sono per certi versi simili al sito Web di Lace autentico, ma dissimili per altri. Fonte<\/a><\/p><\/div>\n

Si \u00e8 scoperto che gli autori dell\u2019attacco hanno utilizzato come arma un web-builder basato sull\u2019intelligenza artificiale per creare pagine false. Poich\u00e9 gli autori dell\u2019attacco hanno tagliato gli angoli e lasciato inavvertitamente alcuni artefatti rivelatori, siamo riusciti a identificare il servizio esatto su cui stanno facendo leva: Lovable.<\/p>\n

L\u2019utilizzo di uno strumento di intelligenza artificiale ha consentito loro di ridurre significativamente il tempo necessario per creare un sito falso e sfornare falsi su scala industriale.<\/p>\n

Strumento di amministrazione remota Syncro<\/h2>\n

Un\u2019altra caratteristica comune dei siti falsi coinvolti in questa campagna \u00e8 che distribuiscono tutti lo stesso identico carico utile. L\u2019utente malintenzionato non ha creato il proprio Trojan, n\u00e9 ne ha acquistato uno al mercato nero. Sta invece utilizzando la propria build di uno strumento di accesso remoto perfettamente legittimo: Syncro.<\/p>\n

L\u2019app originale semplifica il monitoraggio centralizzato e l\u2019accesso remoto per i team di supporto IT aziendali e gli MSP (Managed Service Provider). I servizi di sincronizzazione sono relativamente economici, a partire da 129 dollari al mese con un numero illimitato di dispositivi gestiti.<\/p>\n

\"Sito

Sito del portafoglio di criptovaluta falso Yoroi<\/p><\/div>\n

Allo stesso tempo, lo strumento possiede alcune importanti funzionalit\u00e0: oltre alla condivisione dello schermo, il servizio fornisce anche l\u2019esecuzione in remoto dei comandi, il trasferimento file, l\u2019analisi dei registri, la modifica del registro di sistema e altre azioni in background. Tuttavia, il principale vantaggio di Syncro \u00e8 un\u2019installazione semplificata e un processo di connessione. L\u2019utente, o, in questo caso, la vittima deve solo scaricare ed eseguire il file di installazione.<\/p>\n

Da quel momento in poi, l\u2019installazione viene eseguita completamente in background, caricando segretamente una build Syncro dannosa nel computer. Poich\u00e9 questa build ha il CUSTOMER_ID dell\u2019utente malintenzionato hardcoded, l\u2019utente malintenzionato ottiene immediatamente il controllo completo sul computer della vittima.<\/p>\n

\"Finestra

La finestra del programma di installazione di Syncro lampeggia sullo schermo per pochi secondi e solo un utente attento potrebbe notare che \u00e8 stato configurato il software errato<\/p><\/div>\n

Una volta installato Syncro nel dispositivo della vittima, gli autori dell\u2019attacco ottengono l\u2019accesso completo e possono utilizzarlo per raggiungere i propri obiettivi. Dato il contesto, questi sembrano rubare le chiavi dei portafogli di criptovaluta alle vittime e sottrarre fondi ai conti degli autori dell\u2019attacco.<\/p>\n

\"Sito

Un altro sito falso, questa volta per il protocollo Liqwid DeFi. Sebbene Liqwid offra solo un\u2019applicazione Web, il sito falso consente agli utenti di scaricare versioni per Windows, macOS e persino Linux<\/p><\/div>\n

Come proteggersi da tali attacchi<\/h2>\n

Questa campagna dannosa rappresenta una minaccia aggravata per gli utenti per due motivi principali. In primo luogo, i siti falsi creati con il servizio di intelligenza artificiale hanno un aspetto abbastanza professionale e i relativi URL non sono eccessivamente sospetti. Ovviamente sia il design delle pagine false che i domini utilizzati differiscono notevolmente da quelli reali, ma questo diventa evidente solo nel confronto diretto. A prima vista, tuttavia, \u00e8 facile confondere il falso con l\u2019originale.<\/p>\n

In secondo luogo, gli autori degli attacchi utilizzano uno strumento di accesso remoto legittimo per infettare gli utenti. Ci\u00f2 significa che rilevare l\u2019infezione pu\u00f2 essere difficile.<\/p>\n

La nostra soluzione di sicurezza<\/a>\u00a0ha un motto speciale, \u201cNot-a-virus<\/a> \u201d (Non \u00e8 un virus) per casi come questo. Questo motto viene assegnato, tra le altre cose, quando nel dispositivo vengono rilevati vari strumenti di accesso remoto, incluso il legittimo Syncro. Per quanto riguarda le build Syncro utilizzate per scopi dannosi, la nostra soluzione di sicurezza<\/a>\u00a0li rileva come HEUR:Backdoor.OLE2.RA-Based.gen.<\/em><\/p>\n

\u00c8 importante ricordare che un anti-virus non bloccher\u00e0 tutti gli strumenti legittimi di amministrazione remota per impostazione predefinita per evitare di interferire con l\u2019utilizzo intenzionale. \u00c8 pertanto consigliabile prestare molta attenzione alle notifiche provenienti dalla soluzione di protezione. Se viene visualizzato un avviso che indica che \u00e8 stato rilevato software Not-a-virus<\/em> nel dispositivo, \u00e8 opportuno prenderlo sul serio e controllare almeno quale applicazione lo ha attivato.<\/p>\n

Se nel dispositivo \u00e8 installato Kaspersky Premium<\/a>, utilizza la funzionalit\u00e0 Rilevamento accesso remoto<\/a> e, se necessario, l\u2019opzione di rimozione dell\u2019app fornita con l\u2019abbonamento Premium. Questa funzionalit\u00e0 rileva circa 30 delle pi\u00f9 diffuse applicazioni di accesso remoto legittime e se sai di non averle installate personalmente, questo \u00e8 motivo di preoccupazione.<\/p>\n

\"Kaspersky

Kaspersky Premium rileva (e consente di rimuovere) anche le versioni legittime di Syncro e di altre applicazioni di accesso remoto.<\/p><\/div>\n

Ulteriori consigli:<\/p>\n