Gli attaccanti hanno trovato un nuovo trucco, e stavolta è particolarmente insidioso: usano le funzioni di condivisione di ChatGPT e Claude per distribuire malware. Conversazioni condivise, pagine renderizzate, tutto ospitato su chatgpt.com e claude.ai — domini che la gente si fida a occhi chiusi. E ci arrivano attraverso pubblicità sponsorizzate sui motori di ricerca.
Il bello — si fa per dire — è che il contenuto vive su domini legittimi. Quelli che tutti i sistemi di sicurezza considerano affidabili per definizione. L’attacco bypassa i controlli di reputazione URL prima ancora che la vittima arrivi al payload malevolo vero e proprio.
Come funziona: non più solo conversazioni fake
Le prime varianti di questa tecnica, documentate nei mesi scorsi, usavano conversazioni condivise su Claude.ai mascherate da guide di installazione. Finte pagine di ‘Apple Support’ che guidavano l’utente passo passo: apri il terminale, incolla questo comando curl, ecco fatto — hai appena scaricato ed eseguito un infostealer.
Kaspersky ha documentato una campagna parallela su ChatGPT che distribuiva AMOS (Atomic macOS Stealer) con lo stesso schema: paste-questo-comando-e-vai.
Ma Push Security ha individuato una nuova variante che va oltre. Molto oltre.
Invece di una conversazione condivisa con istruzioni testuali, l’attaccante ha usato la funzione di rendering del codice di ChatGPT per costruire una pagina web completa, completamente progettata, che simula un’interruzione del servizio ChatGPT. Il risultato? Una pagina che sembra un avviso ufficiale: ‘Stiamo riscontrando traffico elevato. Scarica la nostra app desktop per continuare.’ Pulsante di download ben in vista.
Toggle ‘Mostra codice’ in alto? Quello rivela la realtà: è tutto HTML e CSS custom, renderizzato usando la funzione di output del codice di ChatGPT. Una pagina web dentro una pagina web, ospitata su un dominio che ogni sistema di reputazione al mondo considera sicuro.
La pagina di download: clonazione quasi perfetta
Cliccando sul pulsante di download, l’utente finisce su openew[.]app — una replica convincente della pagina ufficiale di download dell’app desktop di ChatGPT. Branding OpenAI, pulsanti per macOS e Windows, link all’estensione Chrome, sezione mobile. Tutto a posto, apparentemente.
C’è però un dettaglio interessante: il sito mostra contenuti diversi a seconda di chi lo visita. Quando i ricercatori di Push hanno esaminato l’URL tramite URLScan, lo scanner è stato rediretto a un sito completamente diverso — un generico sito aziendale di AR/VR senza alcun legame con ChatGPT.
Utenti reali in un browser vedono la pagina fake di download. Scanner automatizzati e bot vedono qualcosa di innocuo. Questa renderizzazione condizionale è una tecnica di evasione consolidata nell’ecosistema del malvertising, e rende l’infrastruttura malevola più difficile da identificare per i team di sicurezza.
L’eseguibile scaricato si presenta come ‘ChatGPT for Desktop’ ed è segnalato su VirusTotal.
La variante Claude: stessa campagna, piattaforma diversa
Insieme alla variante ChatGPT con pagina renderizzata, Push ha rilevato anche lo stile di attacco precedentemente documentato usando conversazioni condivise su Claude.ai. Seguono il pattern riportato da BleepingComputer: una chat condivisa mascherata da guida di installazione ‘Claude Code on Mac’, attribuita a ‘Apple Support’, contenente un comando curl che scarica ed esegue malware.
Il fatto che entrambe le varianti — ChatGPT e Claude — stiano comparendo negli ambienti dei clienti Push suggerisce una campagna strutturata. O almeno un playbook condiviso che sta attivamente sperimentando piattaforme diverse e approcci di social engineering diversi per capire cosa converte meglio.
Malvertising: ancora uno dei canali di phishing più efficaci
Push ha rilevato questa variante in più ambienti clienti, con utenti che arrivano a questi URL di chat condivise dopo aver cercato termini come ‘chatgpt’, ‘chatgpt free’, ‘chat gpt’, e errori di battitura comuni come ‘chatgo’, ‘chatgot’, ‘cvhatgpt’.
Gli annunci non sono facili da riprodurre — probabilmente sono limitati geograficamente o temporalmente. È impressionante quanto possano essere mirati questi annunci sponsorizzati su diverse piattaforme. E qui c’è un equivoco comune: è facile vedere questo tipo di attacco come non mirato, quando in realtà può essere circoscritto strettamente a una popolazione di vittime desiderata per ruolo, geografia, eccetera.
Questo si inserisce in un pattern che Push ha tracciato estensivamente. La distribuzione basata su ricerca è ormai il canale dominante per la distribuzione di malware — i dati di Push mostrano che gli attacchi ClickFix vengono raggiunti tramite risultati di ricerca piuttosto che email in 4 casi su 5.
La tecnica della chat condivisa aggiunge una nuova dimensione: l’URL di destinazione stesso è autentico (chatgpt.com, claude.ai), il che significa che anche un utente cauto che controlla l’URL prima di cliccare non vedrà nulla di sospetto.
L’abuso di piattaforme legittime è ovunque
Questo è un esempio di un pattern molto più ampio che è diventato una delle caratteristiche distintive del panorama delle minacce del 2025-2026: gli attaccanti abusano sistematicamente di piattaforme legittime come infrastruttura di attacco. La scala e la varietà di questo abuso solo negli ultimi mesi è impressionante.
Sul lato della distribuzione, gli attaccanti hanno armato credenziali AWS rubate per inviare phishing attraverso Amazon SES che passa la validazione SPF, DKIM e DMARC perché SES è un servizio Amazon legittimo. Un’operazione vietnamita chiamata AccountDumpling ha usato la capacità email integrata di Google AppSheet come relay di phishing per raccogliere 30.000 credenziali Facebook.
I truffatori hanno sfruttato la pipeline di notifiche interna di Microsoft — inviando phishing dallo stesso indirizzo msonlineservicesteam@microsoftonline.com che invia codici 2FA legittimi — con Spamhaus che conferma mesi di abuso continuo.
Hosting su piattaforme legittime
Per l’hosting, le piattaforme abusate leggono come una lista delle celebrità dell’infrastruttura web moderna.
Operation HookedWing è andata avanti per quattro anni su GitHub Pages e Vercel, compromettendo oltre 500 organizzazioni attraverso più di 100 domini GitHub Pages prima che qualcuno lo documentasse pubblicamente. Cofense ha documentato separatamente il crescente abuso di Vercel per l’hosting di phishing di credenziali.
Il report Q1 2026 di Pixm ha tracciato oltre 100 varianti uniche di sottodomini Azure Blob Storage che ospitavano contenuti di phishing con la reputazione del dominio di Microsoft stesso, insieme all’abuso di Cloudflare CDN, Cloudflare Workers, Cloudflare R2, Backblaze B2 e Supabase.
Siti legittimi compromessi
Anche siti legittimi compromessi vengono riutilizzati su larga scala. Uno sfruttamento di massa di una vulnerabilità Ghost CMS ha piantato pagine ClickFix su oltre 700 siti web, inclusi sottodomini di Harvard, Oxford e DuckDuckGo.
Microsoft ha recentemente documentato una campagna in cui l’avvelenamento SEO è stato combinato con la manipolazione delle raccomandazioni dei chatbot AI per distribuire malware di mining GPU — estendendo l’avvelenamento dai risultati di ricerca tradizionali alle raccomandazioni software generate dall’AI.
Il problema strutturale è che ognuna di queste piattaforme è genuinamente legittima, e i controlli di sicurezza che le valutano — reputazione del dominio, autenticazione email, categorizzazione URL — le confermano come affidabili perché lo sono davvero. Questo attacco estende questo pattern in un nuovo territorio sfruttando le funzioni di condivisione dei contenuti delle piattaforme di chatbot AI nello specifico, ma i principi sottostanti sono gli stessi.
Analisi dell’impatto
La distribuzione di malware tramite chat condivise sfrutta una proprietà strutturale delle piattaforme AI per cui i controlli di sicurezza tradizionali non sono progettati. Reputazione del dominio, categorizzazione URL e database di navigazione sicura trattano tutti chatgpt.com e claude.ai come affidabili — perché lo sono.
Usare queste pagine affidabili per linkare a ulteriori pagine dall’aspetto convincente che ospitano malware permette all’attaccante di eseguire campagne che si mimetizzano, oltre a ruotare le pagine di consegna del phishing più avanti nella catena se mai vengono segnalate, permettendo alla campagna di continuare senza interruzioni.
Ciò che rende la variante della pagina renderizzata particolarmente preoccupante è che elimina il segnale d’allarme più ovvio negli attacchi precedenti. Le varianti di conversazione Claude.ai richiedevano che la vittima riconoscesse che una chat condivisa che le istruiva a incollare comandi nel terminale potesse essere sospetta — un’impresa difficile per molti utenti, ma almeno la superficie di attacco era visibile. La variante della pagina renderizzata non mostra nulla che sembri un attacco. Presenta quello che sembra essere un’interruzione di servizio di routine con una call to action ragionevole: scarica l’app desktop per continuare a usare ChatGPT.
Come Push ha rilevato l’attacco
Push ha allineato la logica di rilevamento per questa tecnica sotto il nome LLMShare — un rilevamento a livello di tecnica che copre l’abuso di contenuti condivisi su piattaforme LLM, non legato a nessuna singola campagna o set di IOC.
Poiché Push vede il contesto completo di come un utente è arrivato a una pagina e cosa fa quella pagina una volta renderizzata, può identificare gli attacchi LLMShare indipendentemente da quale piattaforma AI viene abusata o quale wrapper di social engineering l’attaccante ha scelto.
Quando hanno identificato le prime istanze di questa campagna, hanno usato la loro pipeline di threat hunting agenticaa per cercare esempi aggiuntivi nella telemetria dei clienti, sviluppare il rilevamento LLMShare e distribuirlo rapidamente ai clienti. Push blocca gli utenti dall’interagire con la pagina prima che possa verificarsi qualsiasi attività malevola.
I clienti Push non devono intraprendere ulteriori azioni.
Indicatori di compromissione
Come sempre, gli IOC di breve durata hanno un valore limitato quando si affrontano attacchi di phishing moderni, data la velocità con cui gli attaccanti sono in grado di creare e ruotare rapidamente i siti usati nella catena di attacco. I rilevamenti basati su IOC per campagne come questa hanno valore limitato.
Al momento della scrittura, gli indicatori osservati erano: hxxps://claude[.]ai/share/8e6401b5-4849-46c4-a3cb-29e1c3c49131, hxxps://chatgpt[.]com/s/cb_6a0f1e6bbec88191aa7fede27163f08d, dominio openew[.]app, SHA256 de8c50e8ccd240ef9d10ec26c26eeb37a4d1cad7c1e0edf3bb6e5689ec2dde78.
