🛡️ Executive Summary
- Una falsa estensione Chromium impersona Perplexity AI per intercettare ricerche, digitazioni e dati di navigazione attraverso un dominio controllato dagli attaccanti.
- Le campagne di LLMjacking sfruttano credenziali cloud compromesse per utilizzare illegalmente modelli AI ospitati su piattaforme come AWS Bedrock, OpenAI e Anthropic.
- Microsoft e Sysdig raccomandano controlli più rigorosi su estensioni, credenziali e servizi AI per ridurre il rischio di compromissione e costi elevati.
L’adozione sempre più ampia dell’intelligenza artificiale sta creando nuove opportunità anche per i cybercriminali. Le più recenti analisi mostrano come gli aggressori stiano sfruttando la popolarità di servizi AI sia sul lato client, attraverso estensioni browser fraudolente, sia sul lato infrastrutturale, compromettendo piattaforme cloud che ospitano modelli linguistici. Da una parte è stata individuata un’estensione per Chromium che si presenta come uno strumento ufficiale di Perplexity AI, ma in realtà intercetta le ricerche e raccoglie dati di navigazione prima di inoltrarli ai motori di ricerca legittimi. Dall’altra continua a crescere il fenomeno del LLMjacking, una tecnica che sfrutta credenziali cloud rubate per utilizzare servizi AI a spese delle vittime, generando costi potenzialmente elevatissimi. In questo contesto, anche le raccomandazioni di Microsoft sull’abbandono del flusso OAuth ROPC assumono un’importanza crescente, evidenziando il ruolo della protezione delle credenziali nella sicurezza delle moderne piattaforme AI.
Cosa leggere
La falsa estensione Perplexity AI prende il controllo delle ricerche
L’estensione individuata dagli analisti viene distribuita attraverso il Chrome Web Store con il nome “Search for perplexity ai”, utilizzando logo, descrizione e branding riconducibili al noto motore di ricerca basato sull’intelligenza artificiale. Dopo l’installazione modifica automaticamente le impostazioni del browser grazie alla funzionalità chrome_settings_overrides, diventando il motore di ricerca predefinito dell’utente. Da quel momento ogni ricerca effettuata tramite la barra degli indirizzi viene inoltrata prima a un dominio controllato dagli aggressori e solo successivamente reindirizzata verso servizi legittimi come Perplexity, Google o Bing.

Il comportamento rende l’attacco particolarmente difficile da individuare, poiché l’utente continua a visualizzare risultati apparentemente normali senza accorgersi che tutte le richieste vengono preventivamente intercettate.
Intercettazione in tempo reale delle digitazioni

Il malware sfrutta le API declarativeNetRequest e il parametro suggest_url per raccogliere informazioni ancora prima dell’invio della ricerca. Ogni carattere digitato nella Omnibox viene trasmesso al server remoto in tempo reale, permettendo agli operatori di registrare progressivamente l’intera sequenza di tasti inserita dall’utente. L’infrastruttura, realizzata con Node.js e nginx, memorizza non soltanto le query di ricerca, ma anche indirizzi IP, user-agent, intestazioni HTTP e altri metadati utili alla profilazione delle vittime. Successivamente il sistema effettua il reindirizzamento verso il motore di ricerca richiesto, mascherando completamente l’attività di raccolta dati. Al momento non sono emerse prove di un furto diretto di password, ma la quantità di informazioni raccolte è sufficiente per costruire profili dettagliati degli utenti e alimentare campagne di advertising fraudolento o ulteriori attacchi mirati.
LLMjacking: quando le credenziali cloud alimentano gli attacchi AI

Parallelamente si sta consolidando una minaccia differente ma altrettanto rilevante: il LLMjacking. In questo scenario gli aggressori compromettono ambienti cloud ottenendo credenziali valide attraverso vulnerabilità note, configurazioni errate o segreti esposti accidentalmente. Una volta acquisiti gli accessi, iniziano a utilizzare piattaforme come AWS Bedrock, Azure OpenAI, Google Vertex AI, Anthropic e OpenAI per eseguire richieste ai modelli linguistici a carico della vittima.

Le API vengono richiamate mediante operazioni perfettamente legittime, come InvokeModel, rendendo difficile distinguere l’attività malevola dal normale utilizzo dei servizi. In molti casi gli attaccanti verificano preventivamente quote disponibili, limiti di consumo e capacità computazionale prima di avviare campagne intensive di generazione automatica di contenuti o di rivendere l’accesso ad altri gruppi criminali attraverso infrastrutture proxy dedicate.
Credenziali deboli e autenticazione poco sicura favoriscono gli attacchi

Il fenomeno del LLMjacking riporta l’attenzione sull’importanza della gestione delle credenziali. La documentazione aggiornata di Microsoft continua infatti a sconsigliare l’utilizzo del flusso OAuth 2.0 Resource Owner Password Credentials (ROPC), una modalità di autenticazione nella quale applicazioni client ricevono direttamente nome utente e password per ottenere un token di accesso. Oltre a non supportare efficacemente l’autenticazione multifattore, questo meccanismo richiede un elevato livello di fiducia nell’applicazione e aumenta il rischio di esposizione delle credenziali. Molte campagne osservate negli ultimi mesi hanno avuto origine proprio da password archiviate in chiaro, segreti API inseriti nel codice sorgente o configurazioni cloud non adeguatamente protette. Quando tali credenziali consentono l’accesso a servizi AI a consumo, il danno economico può diventare rapidamente molto elevato, raggiungendo anche decine di migliaia di dollari in pochi giorni.
Dalla profilazione al danno economico
Sebbene le due minacce abbiano obiettivi differenti, entrambe sfruttano la crescente fiducia riposta dagli utenti negli strumenti di intelligenza artificiale. L’estensione fraudolenta utilizza il marchio Perplexity AI per raccogliere dati di navigazione e costruire profili dettagliati senza alterare l’esperienza dell’utente. Il LLMjacking, invece, colpisce direttamente le organizzazioni, trasformando infrastrutture AI legittime in risorse computazionali utilizzate abusivamente da soggetti esterni. In entrambi i casi l’elemento comune è la difficoltà di rilevare tempestivamente l’attività malevola: nel browser tutto continua ad apparire normale, mentre nei servizi cloud le richieste API risultano formalmente valide e provengono da credenziali autentiche.
Le raccomandazioni di Microsoft e Sysdig
Per limitare il rischio delle estensioni browser malevole, Microsoft suggerisce alle organizzazioni di controllare centralmente l’installazione delle estensioni, monitorare eventuali modifiche ai motori di ricerca predefiniti e verificare con attenzione i permessi richiesti da componenti aggiuntivi che promettono funzionalità AI. Sul fronte cloud, Sysdig raccomanda di applicare rigorosamente il principio del privilegio minimo, utilizzare sistemi dedicati alla gestione dei segreti, attivare il logging completo delle chiamate verso i modelli linguistici e monitorare attività anomale come invocazioni massive, utilizzo di regioni inconsuete o improvvisi incrementi del consumo di token. Con l’intelligenza artificiale ormai integrata sia nei browser sia nelle infrastrutture enterprise, la protezione di credenziali, estensioni e servizi cloud diventa una componente fondamentale della strategia di cybersecurity, tanto quanto la difesa tradizionale di endpoint e reti aziendali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









