Специалисты по безопасности выявили в сети вредоносное программное обеспечение для Windows, которое выдает себя за официальный клиент генеративного ИИ DeepSeek-R1. Злоумышленники убеждают пользователей загрузить его с фишингового ресурса, созданного под видом настоящего сервиса DeepSeek.
По информации компании «Лаборатория Касперского», озвученной «Газета.Ru», данная программа включает в себя вредоносное ПО BrowserVenom, которое перехватывает интернет-трафик жертвы и отслеживает ее действия в сети. Вредоносная активность уже затронула пользователей в Бразилии, Мексике, Индии, Непале, Южной Африке, Египте и на Кубе.
Хакеры продвигают фишинговый сайт через рекламу в поисковых системах. По словам экспертов, пользователи могут столкнуться с подделкой, когда ищут в интернете «deepseek r1». При переходе на фальшивую страницу автоматически запускается проверка операционной системы ПК. Если система обнаруживает Windows, на экране появляется кнопка «Попробовать сейчас».
После нажатия на эту кнопку загружается вредоносный установщик AILauncher1.21.exe. Затем жертве предлагают выбрать и установить один из легитимных инструментов (Ollama или LM Studio) для локального запуска DeepSeek на Windows.
Пользователь действительно получает доступ к DeepSeek, однако одновременно с этим на его устройство устанавливается троян BrowserVenom. Он настраивает вредоносный сертификат в хранилище сертификатов, а также браузеры на зараженном компьютере так, чтобы они принудительно использовали прокси-сервер злоумышленников. Это дает возможность киберпреступникам собирать конфиденциальные данные жертвы и отслеживать ее активность в интернете, расшифровывая весь трафик.
В «Лаборатории Касперского» подчеркивают, что злоумышленники активно используют приложения и сайты на базе нейросетей для распространения вредоносного ПО и фишинга, маскируя их под законные клиенты для ChatGPT, Grok и DeepSeek. Компания не исключает, что подобные схемы атак могут применяться и в других регионах. В связи с этим эксперты призывают пользователей тщательно проверять сайты перед вводом конфиденциальной информации или загрузкой программ, а также использовать надежные средства защиты для предотвращения киберугроз.
Ранее сообщалось, что в период с января по апрель текущего года в России был зафиксирован значительный рост киберпреступлений, использующих популярность детских брендов для распространения вредоносного программного обеспечения. Количество таких инцидентов увеличилось на 19%.
«Ростех» внедрил отечественную систему кибербезопасности для авиации
