Una nuova campagna malevola sta sfruttando la popolarità di ChatGPT per ingannare gli utenti e distribuire malware su Windows e macOS. I ricercatori di Push Security hanno individuato una variante più evoluta dell’attacco ClickFix, battezzata LLMShare, che punta sulle conversazioni condivise del chatbot e su una finta pagina web costruita per sembrare credibile.
Il meccanismo è insidioso perché combina tecniche diverse: SEO poisoning, malvertising e pagine clone che imitano i siti ufficiali. In questo modo, chi cerca “chatgpt” online può ritrovarsi davanti a risultati apparentemente legittimi, spesso anche sotto forma di link sponsorizzati, e finire su una pagina truffa senza sospettare nulla.
ChatGPT al centro della nuova truffa ClickFix
La campagna LLMShare si distingue dalle varianti precedenti di ClickFix perché non mostra più semplici istruzioni fuorvianti per installare l’app, ma una pagina che segnala un presunto problema tecnico del servizio, come un sovraccarico del sito. L’utente viene quindi invitato a scaricare la versione desktop tramite un pulsante ben visibile, convinto di dover risolvere un disservizio temporaneo.
La pagina è stata realizzata sfruttando anche la generazione di codice di ChatGPT, così da riprodurre un layout molto simile a quello ufficiale di OpenAI. In alto compare persino un link al codice sorgente HTML e CSS, un dettaglio che può contribuire a rafforzare l’illusione di trovarsi davanti a una risorsa autentica e trasparente.
Come funziona il falso download
Dopo il clic sul pulsante Download, la vittima viene indirizzata a un’altra pagina con un design quasi identico a quello reale di OpenAI, dove compaiono due pulsanti per scaricare le versioni Windows e macOS dell’app desktop. I file offerti, però, non sono software legittimo: si tratta di eseguibili malevoli progettati per installare infostealer sui dispositivi bersaglio.
Secondo le analisi riportate dai ricercatori, il campione per macOS è Odyssey Stealer, un fork del noto Atomis Stealer, anche chiamato AMOS. Il file per Windows non è stato ancora approfondito, ma la logica della campagna lascia intendere un obiettivo simile: rubare credenziali e dati sensibili, approfittando della fiducia degli utenti verso il marchio ChatGPT.
I dati rubati e i consigli per difendersi
Il malware è in grado di sottrarre password, chiavi del portachiavi di sistema, sessioni Telegram e informazioni dai browser basati su Chromium. Inoltre esegue una scansione delle cartelle alla ricerca dei file dei wallet di criptovalute e può persino sostituire versioni legittime con copie infette che intercettano password e seed phrase. Si tratta quindi di una minaccia che va oltre il semplice furto di accessi e può avere conseguenze economiche rilevanti.
Attacchi simili sfruttano anche le conversazioni condivise di altri chatbot, come Claude e Grok, segno che il problema riguarda l’intero ecosistema delle piattaforme AI. Per proteggersi, è consigliabile salvare tra i preferiti i link ufficiali dei servizi più usati ed evitare di affidarsi alla ricerca web quando si cercano pagine di login o download. Un ad blocker può inoltre ridurre il rischio legato ai link sponsorizzati, spesso usati come vettore iniziale della truffa.
