LLMShare usa ChatGPT e Claude per distribuire malware tramite domini fidati

LLMShare segna un passaggio critico nell’evoluzione del malvertising e dell’abuso delle piattaforme di intelligenza artificiale generativa. La campagna trasforma le pagine condivise di ChatGPT e Claude in infrastrutture di distribuzione malware, sfruttando la fiducia implicita degli utenti verso domini come chatgpt.com e claude.ai. Gli attaccanti non hanno bisogno di registrare domini palesemente sospetti nella prima fase dell’attacco, perché ospitano contenuti ingannevoli direttamente dentro ambienti percepiti come legittimi. Il risultato è una catena di compromissione più credibile, più difficile da filtrare e più efficace contro utenti macOS e Windows che cercano accesso a ChatGPT, app desktop, guide di installazione o strumenti AI gratuiti. La campagna, rilevata da Push Security come attiva al 29 maggio 2026, mostra come le funzioni di condivisione dei chatbot possano diventare vettori di delivery quando vengono combinate con annunci sponsorizzati, pagine renderizzate, cloni di download e payload infostealer.

LLMShare trasforma le pagine condivise AI in infrastruttura malware

La tecnica usata da LLMShare sfrutta una debolezza culturale prima ancora che tecnica: l’utente tende a fidarsi di un link ospitato su chatgpt.com o claude.ai molto più di quanto si fiderebbe di un dominio sconosciuto. Gli attaccanti creano conversazioni condivise, pagine renderizzate o contenuti apparentemente informativi che vivono su domini ad alta reputazione e vengono quindi trattati con minore sospetto da browser, gateway, strumenti di sicurezza e persone. Questo consente di superare una parte importante dei controlli basati sulla reputazione URL, perché l’indirizzo iniziale appartiene realmente a una piattaforma legittima. La campagna usa poi il malvertising sui motori di ricerca per portare traffico qualificato verso questi link condivisi. Gli utenti cercano termini comuni come chatgpt, chatgpt free, chat gpt o refusi come chatgo, chatgot e cvhatgpt, cliccano su annunci sponsorizzati e arrivano su pagine che sembrano parte dell’esperienza ufficiale dell’AI. Il passaggio successivo conduce verso download malevoli, comandi terminale o siti clone progettati per rubare dati e installare payload. LLMShare dimostra così che la superficie d’attacco non riguarda più soltanto email, allegati o siti fraudolenti, ma anche le funzionalità collaborative delle piattaforme AI più utilizzate.

ChatGPT viene abusato con false pagine di alto traffico

La variante basata su ChatGPT costruisce un’intera pagina falsa dentro un link condiviso chatgpt.com/s/. Gli attaccanti generano contenuti HTML e CSS che simulano un avviso di servizio in stile ufficiale, con un messaggio che informa l’utente di un presunto alto traffico e di una temporanea indisponibilità del sito. La pagina invita a scaricare una presunta app desktop per continuare a usare il servizio, presentando un pulsante ben visibile e graficamente coerente con il branding di OpenAI.

Il trucco diventa evidente solo se l’utente apre funzioni come Show code, perché il contenuto non è un vero avviso ufficiale ma codice personalizzato renderizzato dentro una pagina condivisa. La vittima, però, vede un dominio legittimo e un’interfaccia familiare, quindi interpreta il messaggio come credibile. Il click sul pulsante porta verso openew[.]app, un clone convincente della pagina di download desktop di ChatGPT. Il sito mostra pulsanti per macOS, Windows, estensione Chrome e sezione mobile, replicando la grammatica visiva di una pagina ufficiale. L’eseguibile scaricato si presenta come ChatGPT for Desktop, ma viene rilevato come malevolo su VirusTotal. Questa variante è particolarmente pericolosa perché non si limita a testo ingannevole: crea una falsa esperienza web completa dentro un dominio fidato.

Il malvertising porta utenti qualificati verso i link condivisi

Il motore operativo della campagna è il malvertising sui risultati di ricerca. Gli attaccanti intercettano utenti già interessati a ChatGPT, a versioni gratuite, download desktop o accessi rapidi al servizio. Questo traffico è ad alta probabilità di conversione perché la vittima sta cercando esattamente ciò che la pagina malevola finge di offrire. Gli annunci sponsorizzati indirizzano verso pagine condivise su domini legittimi, riducendo la possibilità che l’utente noti anomalie nella barra degli indirizzi. Push Security ha osservato questo flusso in ambienti clienti reali, confermando che gli annunci possono essere geolocalizzati, temporizzati o distribuiti in modo selettivo per massimizzare l’efficacia e ridurre l’esposizione agli analisti.

Il vantaggio per gli attaccanti è evidente: non devono inviare email sospette, non devono convincere la vittima ad aprire allegati e non devono affidarsi a domini appena registrati nella prima fase dell’attacco. Usano invece la ricerca, gli annunci e la reputazione di piattaforme AI legittime. Il modello ricorda attacchi come ClickFix, che arrivano spesso dai risultati di ricerca, ma aggiunge un elemento nuovo: la destinazione intermedia è un URL ospitato su un dominio AI ad altissima fiducia. In questo modo LLMShare riduce il rumore iniziale e aumenta la probabilità che il payload venga raggiunto da utenti realmente interessati all’installazione di strumenti AI.

Claude viene usato per guide fasulle con comandi terminale

La variante basata su Claude mantiene la stessa logica di abuso ma usa una forma più conversazionale. Gli attaccanti creano conversazioni condivise su claude.ai presentate come guide di installazione, ad esempio contenuti etichettati come Claude Code on Mac con falsa attribuzione a Apple Support. La pagina fornisce istruzioni passo-passo e invita l’utente ad aprire Terminal e incollare un comando curl. Il comando scarica ed esegue un infostealer, con una dinamica già osservata in campagne che distribuiscono AMOS, cioè Atomic macOS Stealer. Questa tecnica sfrutta una normalizzazione pericolosa: molti utenti, soprattutto sviluppatori e professionisti tecnici, si sono abituati a ricevere comandi terminale da chatbot AI e a copiarli nei propri sistemi per installare tool, risolvere errori o configurare ambienti. L’attacco non deve quindi imitare una pagina di download completa, perché sfrutta la fiducia nel formato guida e nella conversazione tecnica. Push Security ha rilevato varianti ChatGPT e Claude negli stessi ambienti clienti, suggerendo una campagna unica o un playbook condiviso che sperimenta piattaforme diverse per aumentare le conversioni. La versione Claude è meno grafica ma altrettanto insidiosa: convince l’utente a eseguire direttamente il payload tramite shell, trasformando la conversazione condivisa in una catena di compromissione.

openew[.]app usa evasione e rendering condizionale

Il sito openew[.]app svolge un ruolo centrale nella variante ChatGPT perché agisce come clone della pagina di download ufficiale. La pagina replica il branding OpenAI, i pulsanti per piattaforma e la struttura visiva di un portale legittimo, ma dietro l’apparenza distribuisce un eseguibile malevolo. La campagna usa anche tecniche di evasione basate su rendering condizionale. Quando strumenti come URLScan analizzano il dominio, il sistema può essere reindirizzato verso un sito generico di AR/VR senza collegamenti evidenti a ChatGPT. Gli utenti reali, invece, visualizzano la pagina clone e ricevono il flusso malevolo. Questa tecnica rende più difficile la classificazione automatica da parte di motori di threat intelligence, sandbox e scanner URL. L’attacco costruisce quindi una catena di fiducia multi-livello: annuncio sponsorizzato, dominio chatgpt.com, pagina condivisa apparentemente legittima, clone di download e payload mascherato come app desktop. Ogni passaggio riduce la percezione del rischio perché la vittima arriva al download dopo aver attraversato ambienti che sembrano coerenti e affidabili. Il punto debole sfruttato dagli attaccanti non è soltanto tecnico, ma cognitivo: l’utente tende a trasferire la fiducia dal dominio iniziale al dominio finale, anche quando il download non proviene più dall’infrastruttura ufficiale.

L’abuso di piattaforme legittime diventa la regola del 2026

LLMShare si inserisce in un trend più ampio che nel 2026 vede gli attaccanti abusare sistematicamente di piattaforme legittime per consegnare phishing, malware e contenuti ingannevoli. Push Security collega questa campagna a tecniche già osservate in altri contesti, come l’uso di credenziali AWS rubate per inviare phishing tramite Amazon SES con passaggio di controlli SPF, DKIM e DMARC, o operazioni come AccountDumpling, che sfruttano Google AppSheet come relay di phishing. Altri attacchi abusano della pipeline di notifica interna Microsoft, mentre l’hosting viene spesso spostato su GitHub Pages, Vercel e Azure Blob Storage. Operazioni come HookedWing hanno dimostrato che infrastrutture apparentemente legittime possono sostenere campagne di lunga durata, con oltre 100 domini GitHub Pages e centinaia di organizzazioni compromesse. LLMShare porta questa logica nel territorio dei chatbot AI, dove le pagine condivise diventano infrastruttura di delivery proprio perché vivono su domini di altissima reputazione. Gli attaccanti non devono più costruire fiducia da zero: la prendono in prestito da servizi che utenti e aziende usano ogni giorno. Questo rende il rilevamento molto più complesso e costringe i team di sicurezza a superare l’approccio basato sul semplice giudizio del dominio.

Gli utenti macOS e Windows rischiano infostealer e furto di account

Le conseguenze per utenti macOS e Windows sono gravi perché i payload distribuiti tramite LLMShare includono infostealer, eseguibili malevoli, possibili backdoor e strumenti capaci di rubare credenziali, cookie, wallet crypto, sessioni browser e dati aziendali. Su macOS, la variante che usa comandi curl in Terminal può scaricare ed eseguire malware senza ulteriori passaggi complessi, facendo leva sulla fiducia nella guida AI. Su Windows, il falso installer ChatGPT for Desktop può installare spyware, loader o componenti destinati a furti di dati e accessi persistenti. Gli utenti paganti o abituati a usare quotidianamente ChatGPT e Claude non sono immuni, perché la campagna sfrutta proprio la familiarità con questi servizi. In ambiente aziendale il danno potenziale cresce: un singolo download da un link condiviso può portare al furto di credenziali SSO, token applicativi, dati di browser, sessioni cloud e accessi a repository o piattaforme interne. La compromissione iniziale può poi aprire la strada ad attacchi successivi, inclusi movimento laterale, esfiltrazione di dati o ransomware secondari. Il fattore più pericoloso è il falso senso di sicurezza generato dai domini AI. L’utente esperto, normalmente cauto su allegati e link sconosciuti, può abbassare la guardia davanti a un URL chatgpt.com o claude.ai.

I controlli tradizionali falliscono davanti ai domini di fiducia

LLMShare aggira molti controlli tradizionali perché opera dentro una zona grigia della reputazione. Browser, proxy, strumenti endpoint e soluzioni di sicurezza considerano chatgpt.com e claude.ai domini affidabili. Le pagine condivise non vengono trattate automaticamente come pericolose, soprattutto quando non contengono payload binari diretti ma solo contenuti renderizzati, codice, istruzioni o link intermedi. Il rendering condizionale del sito finale complica l’analisi automatica, mentre il malvertising fornisce traffico selezionato e contestuale. Inoltre, la campagna sfrutta abitudini ormai consolidate: cercare ChatGPT su Google, cliccare risultati sponsorizzati, fidarsi di pagine AI condivise, seguire istruzioni generate da chatbot e installare app desktop da pagine graficamente convincenti. La normalizzazione dei comandi terminale generati da AI rende credibile persino l’esecuzione di curl su macOS, una tecnica che in altri contesti apparirebbe sospetta. Gli attaccanti possono targettizzare per geografia, profilo, orario o parola chiave, riducendo l’esposizione ai ricercatori e aumentando la qualità delle vittime raggiunte. La sicurezza basata solo su blocco dominio, reputazione URL o firma del payload arriva troppo tardi, perché la parte iniziale dell’attacco appare legittima e il download finale può cambiare dinamicamente.

Le mitigazioni richiedono nuove regole sui link AI condivisi

La mitigazione di LLMShare parte da una nuova disciplina nell’uso dei link condivisi di piattaforme AI. Gli utenti devono verificare sempre l’URL completo, distinguere tra dominio ufficiale e dominio di download finale e diffidare di pagine condivise che mostrano pulsanti di installazione, avvisi di servizio, comandi terminale o richieste di scaricare app desktop. La presenza di opzioni come Show code o Remix with ChatGPT può indicare che la pagina non è un avviso ufficiale ma un contenuto generato o condiviso da un utente. Nessun comando curl tratto da una conversazione condivisa dovrebbe essere incollato in Terminal senza verifica manuale, soprattutto se scarica ed esegue script remoti. Le aziende devono monitorare traffico verso percorsi come chatgpt.com/s/ e claude.ai quando questi conducono a download esterni, bloccare domini come openew[.]app, rafforzare il controllo sugli annunci sponsorizzati legati a termini AI e istruire gli utenti sul rischio di malvertising nei risultati di ricerca. Nei contesti più esposti può avere senso limitare temporaneamente la condivisione di link AI, disabilitare il rendering di codice non necessario o introdurre avvisi più visibili sulle pagine condivise. La regola operativa deve essere semplice: le app desktop vanno scaricate solo da pagine ufficiali verificate, mai da conversazioni condivise, annunci sponsorizzati o link intermedi generati da utenti.

Le piattaforme AI devono ripensare condivisione, rendering e fiducia

Il futuro delle minacce basate su piattaforme AI condivise sarà definito dalla capacità dei provider di ridurre l’ambiguità tra contenuto ufficiale e contenuto generato dagli utenti. LLMShare dimostra che una pagina condivisa su un dominio fidato può essere percepita come autorevole anche quando contiene codice, istruzioni o link creati da un attaccante. Le piattaforme come ChatGPT e Claude dovranno introdurre watermarking più evidente, avvisi persistenti sui contenuti condivisi, restrizioni sul rendering di pagine che imitano interfacce ufficiali, blocchi su falsi pulsanti di download e controlli più severi sui link esterni. Anche i motori di ricerca dovranno migliorare il controllo degli annunci che intercettano keyword legate ai chatbot, perché il malvertising resta una delle vie più efficaci per trasformare una pagina condivisa in vettore malware. Per le aziende, il 2026 impone una revisione del modello di fiducia: un dominio legittimo non basta più a definire sicuro il contenuto ospitato. Le pagine condivise AI devono essere trattate come contenuti generati da terzi, non come comunicazioni ufficiali della piattaforma. LLMShare rappresenta quindi l’inizio di una fase in cui gli attaccanti useranno sempre più spesso chatbot, cloud, piattaforme low-code e servizi legittimi come infrastrutture di delivery. La difesa efficace passerà dalla reputazione del dominio alla verifica del contesto, dell’origine, del comportamento e della destinazione finale.