Un sito falso che replica l’aspetto di Claude, il chatbot di Anthropic, è stato usato per distribuire malware e installare una backdoor sui dispositivi delle vittime. Non è la prima volta che i cybercriminali sfruttano la popolarità degli strumenti di intelligenza artificiale per orchestrare truffe, e probabilmente non sarà l’ultima. Era già successo con ChatGPT, e ora tocca a Claude finire nel mirino di chi vuole approfittare della curiosità degli utenti per penetrare nei loro sistemi e rubare dati sensibili.
Come funzionava il sito falso che imitava Claude
I ricercatori di Sophos X-Ops hanno scoperto la campagna analizzando un dominio sospetto, con un aspetto praticamente identico a quello del sito ufficiale di Claude. Il layout, la palette dei colori, i font: tutto era stato riprodotto con cura. L’unico elemento che poteva insospettire era un’eccessiva semplicità della pagina. Mancavano i riferimenti a diverse funzionalità del chatbot, e i link funzionanti erano pochissimi, quasi tutti diretti verso la parte superiore della pagina stessa.
Lo scopo era chiaro: spingere chi visitava il sito falso a scaricare un archivio dal peso di 505 MB, presentato come l’applicativo ufficiale di Claude per Windows. Una volta aperto l’archivio, al suo interno si trovava un file di installazione che, se avviato, estraeva tre componenti. Ed è qui che la faccenda si fa davvero seria. Il codice dannoso nascosto al suo interno sfruttava una dinamica legata agli aggiornamenti dei software antivirus di G DATA per passare completamente inosservato. Il risultato finale era l’installazione di una backdoor sul dispositivo, che a quel punto dava ai criminali pieno accesso al sistema.
Annunci sponsorizzati e risultati di ricerca manipolati
Il dominio in questione al momento non risulta più attivo, ma questo non significa che il pericolo sia finito. Non si può escludere che esistano altri siti simili, pubblicati con lo stesso identico obiettivo. Quello che rende questa campagna particolarmente insidiosa è il modo in cui veniva promossa: attraverso annunci sponsorizzati e risultati di ricerca manipolati, così da intercettare il maggior numero possibile di persone che cercavano informazioni su Claude o volevano scaricarlo.
L’analisi dei ricercatori ha permesso anche di risalire al server che ospitava il sito, associato a un dominio la cui homepage fa riferimento alla fornitura di servizi legati ai rapporti di lavoro e alla consulenza legale. Non è escluso che il gestore sia lo stesso soggetto e che anche quel dominio possa essere parte di un qualche schema fraudolento.
Attenzione ai download sospetti, anche su mobile
La raccomandazione, per quanto possa sembrare ripetitiva, resta sempre la stessa: mantenere alto il livello di attenzione e diffidare di qualsiasi download sospetto. Vale per il desktop, come in questo caso specifico, ma vale anche e soprattutto su mobile. Nei forum e in vari canali online non è raro imbattersi in link verso file APK che promettono l’accesso a versioni dei tool di intelligenza artificiale ottimizzate o senza limitazioni. Sono trappole, nella stragrande maggioranza dei casi. La distribuzione di malware attraverso finti strumenti AI è diventata una delle strategie preferite dai criminali informatici, e il caso del sito che imitava Claude ne è l’ennesima conferma.
