🛡️ Executive Summary
- Ricercatori hanno documentato ransomware browser-only generato con AI, capace di abusare della File System Access API per cifrare file locali.
- Il phantom squatting sfrutta domini allucinati dagli LLM, registrati dagli attaccanti per phishing, malware e impersonificazione di brand.
- La mitigazione richiede controllo dei permessi browser, monitoraggio dei domini appena registrati e verifica manuale degli output prodotti dagli strumenti AI.
L’uso offensivo dell’intelligenza artificiale entra in una fase più concreta, nella quale le allucinazioni dei modelli e le API legittime dei browser diventano componenti operative di nuove catene di attacco. Da un lato, ricercatori di Check Point hanno analizzato un ransomware generato con DeepSeek capace di operare interamente nel browser sfruttando la File System Access API, senza installare payload nativi e senza violare direttamente la sandbox. Dall’altro, Unit 42 ha documentato il fenomeno del phantom squatting, basato sulla registrazione preventiva di domini plausibili ma inesistenti che gli LLM tendono ad allucinare quando rispondono a domande su brand, servizi, portali e integrazioni. In entrambi i casi il rischio nasce dall’incontro tra capacità generative, fiducia degli utenti e superfici tecniche già esistenti. Gli attacchi colpiscono sistemi Windows, dispositivi Android, brand globali e workflow basati su agenti AI, trasformando errori predittivi e richieste di permesso apparentemente legittime in vettori di compromissione.
Cosa leggere
Il ransomware browser-only generato da AI sfrutta una primitiva legittima
Il caso analizzato da Check Point riguarda un artefatto caricato su VirusTotal il 25 gennaio 2026 con il nome deepseek_python_20260125_da0631.py, presentato come un server Flask malevolo. La pagina usa una falsa esca legata a un upscaler AI per avatar Discord, inducendo la vittima a interagire con un’interfaccia apparentemente innocua. Il punto tecnico decisivo è l’abuso della File System Access API, una funzione nativa dei browser Chromium-based che consente alle web app, previa autorizzazione dell’utente, di leggere e modificare file locali. L’attacco non richiede exploit del browser, privilegi amministrativi o installazione di eseguibili tradizionali: opera dentro il perimetro della sandbox, ma sfrutta un permesso concesso manualmente dalla vittima. Una volta selezionata una cartella, il codice JavaScript può enumerare i file, leggerli in memoria, esfiltrarli e cifrarli con Web Crypto API, trasformando una funzione pensata per applicazioni web avanzate in una primitiva ransomware.
File System Access API trasforma il consenso utente in vettore di cifratura

La catena d’attacco inizia quando la vittima carica un’immagine e avvia il presunto processo di miglioramento grafico. Il browser invoca showDirectoryPicker, chiedendo all’utente di scegliere una directory come Pictures su Windows o DCIM su Android. Dopo il consenso, lo script ottiene un handle persistente alla cartella, enumera ricorsivamente i contenuti, legge i file tramite getFile e arrayBuffer, quindi li invia a un’infrastruttura di comando tramite webhook Discord o endpoint Flask.

La cifratura avviene localmente con algoritmi come AES-GCM, seguita dalla sovrascrittura dei file originali. Alla fine compare un overlay di estorsione in stile WinLocker con il nome InfernoGrabber v9.0, richiesta di pagamento in Bitcoin e conto alla rovescia. La pericolosità del modello sta proprio nella sua legittimità apparente: il browser non viene compromesso, ma indotto a eseguire operazioni consentite da una API progettata per applicazioni web che necessitano accesso locale ai file.
DeepSeek mostra come un LLM possa convertire un rischio teorico in proof-of-concept

Il campione attribuito alla generazione con DeepSeek non rappresenta soltanto un esperimento tecnico, ma un segnale sull’evoluzione dell’abuso degli LLM. Il prompt iniziale chiedeva la creazione di uno strumento malevolo universale capace di raccogliere dati, cifrare file e chiedere un riscatto direttamente dal browser. Molte funzionalità prodotte dal modello risultavano irrealistiche o allucinate, come keylogging completo del desktop, screenshot totali o accesso libero a webcam e microfono fuori dai vincoli della sandbox. Tuttavia il modello ha individuato una primitiva reale e utilizzabile: la File System Access API. Con prompt successivi e riformulazioni capaci di aggirare i refusal, i ricercatori hanno ottenuto una proof-of-concept operativa. Questo passaggio è rilevante perché dimostra che anche output parzialmente allucinati possono contenere frammenti tecnicamente validi, sufficienti per guidare attaccanti meno esperti verso catene pratiche di sfruttamento.
Phantom squatting: quando gli LLM inventano domini sfruttabili

Il secondo fronte riguarda il phantom squatting, una tecnica documentata da Unit 42 in cui gli attaccanti registrano domini che gli LLM tendono a generare come se fossero reali. Quando un utente chiede a un modello informazioni su portali di login, API, marketplace, dashboard o servizi collegati a un brand, il sistema può produrre URL plausibili ma inesistenti. Queste allucinazioni non sono completamente casuali: mostrano persistenza tra prompt simili, temperature diverse e modelli differenti. Gli aggressori possono quindi interrogare sistematicamente gli LLM su centinaia di marchi, raccogliere i domini inventati più ricorrenti e registrarli prima che vengano usati da utenti, sviluppatori o agenti AI. La ricerca ha generato 685.339 prompt su 913 brand, ottenendo oltre 2,1 milioni di URL e circa 250.000 domini phantom non registrati e potenzialmente sfruttabili. A temperature più creative, la quota di domini inesistenti può salire fino al 43%, aumentando la superficie disponibile per il cybersquatting predittivo.
Domini a reputazione zero favoriscono phishing, malware e impersonificazione

I domini phantom offrono agli attaccanti un vantaggio importante: nascono senza storia. Non compaiono nei feed di threat intelligence, non hanno reputazione negativa e non risultano collegati a campagne note fino al momento dell’attivazione. Unit 42 ha documentato casi in cui domini allucinati relativi a servizi postali, banche, operatori di scommesse e piattaforme commerciali sono stati registrati e trasformati in siti malevoli. Un esempio riguarda un dominio legato a un marketplace postale nazionale, previsto dagli output AI l’8 marzo 2026 e registrato il 31 marzo 2026, poi usato per ospitare un kit di phishing Montana Empire capace di raccogliere numeri di carta, dati di bonifico e informazioni di identità nazionale, con inoltro dei codici tramite bot Telegram. Altri domini sono stati usati per promuovere applicazioni Android malevole, cloni di portali bancari e pagine con recensioni fasulle. Il traffico può arrivare direttamente da utenti che si fidano degli output AI o da agenti autonomi che non verificano correttamente gli endpoint.
Brand e sviluppatori diventano bersagli indiretti delle allucinazioni

Il rischio non riguarda soltanto i singoli utenti. I brand possono subire impersonificazioni generate indirettamente dagli stessi strumenti AI che dovrebbero facilitare ricerca e automazione. Un dominio allucinato ma plausibile può intercettare traffico destinato a un portale reale, raccogliere credenziali o distribuire malware senza che l’azienda impersonata abbia mai pubblicato quel nome. La minaccia si estende anche alla software supply chain: se un LLM suggerisce endpoint API, webhook, repository o domini di documentazione inesistenti, uno sviluppatore potrebbe integrarli in codice, script di deployment o workflow automatizzati. In presenza di agenti AI autonomi, il problema si amplifica perché l’interazione con domini non verificati può avvenire senza controllo umano immediato. Le allucinazioni, quindi, non sono più soltanto errori di qualità del modello, ma superfici predicibili che possono essere mappate, registrate e sfruttate.
Difesa: controllare permessi browser e domini generati dagli LLM
La mitigazione richiede un approccio diverso rispetto ai controlli tradizionali. Per il ransomware browser-only, i team di sicurezza devono monitorare richieste anomale alla File System Access API, soprattutto quando provengono da siti di nuova registrazione o da applicazioni web non note che chiedono accesso a directory estese. I browser enterprise dovrebbero applicare policy restrittive sui permessi, mentre gli endpoint devono rilevare pattern JavaScript di enumerazione ricorsiva, lettura massiva e cifratura client-side. Per il phantom squatting, le organizzazioni devono costruire watchlist proattive dei domini che gli LLM tendono ad associare ai propri brand, monitorare registrazioni improvvise su TLD generici e verificare i domini raccomandati dagli strumenti AI prima di inserirli in documentazione, workflow o automazioni. Gli utenti devono trattare ogni output generato da AI come una bozza non verificata, soprattutto quando contiene URL, endpoint, numeri di supporto o link di download. La convergenza tra ransomware nel browser e domini phantom mostra che la sicurezza AI non riguarda solo i modelli, ma l’intero ecosistema di permessi, reputazione, automazione e fiducia digitale costruito intorno ai loro output.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









