На фоне растущего интереса к локальным LLM злоумышленники запустили новую атаку — на этот раз под прицел попали те, кто ищет, как установить DeepSeek-R1. Используя фейковый сайт, продвигаемый через Google Ads, атакующие распространяют троян BrowserVenom под видом установщика.
Это не масс-фишинг, а точечная и технологичная кампания, направленная на специалистов и технически грамотных пользователей.
Сайт-зеркало deepseek-platform[.]com полностью копирует оригинальный: визуально не отличить. Есть привычные элементы доверия — кнопка запуска, CAPTCHA, дизайн. Всё выверено. После установки «клиента» запускается цепочка действий, в результате которой троян меняет прокси-настройки популярных браузеров (включая Tor), незаметно перенаправляя весь трафик через подконтрольный злоумышленникам сервер.
BrowserVenom устойчив к перезапуску, встраивается глубоко в систему, использует DGA-домены для командных серверов и прописывает себя в исключения антивирусов. Визуальные элементы вроде фальшивых CAPTCHA встроены не случайно — это часть социальной инженерии, рассчитанной на снижение настороженности.
География атак — Бразилия, Индия, Египет, ЮАР и другие страны. В коде сайта найдены комментарии на русском языке, что может указывать на происхождение разработчиков. Кампания демонстрирует качественный подход: актуальный инфоповод, правдоподобный дизайн, технически грамотная реализация.
Ключевое: атака реализована через Google Ads и поисковую выдачу — привычные, легитимные каналы. Это подчеркивает сдвиг вектора фишинга: от email к рекламным системам, в которых мало кто ждет угроз.
Риски для бизнеса в таком сценарии выходят за рамки заражения одного ПК. Перехват трафика — это доступ к сессионным данным, учетным записям, внутренним системам. Особенно опасны такие атаки в среде, где используется SSO и браузерная авторизация. Один компрометированный endpoint может стать точкой входа в инфраструктуру.
Такие кейсы — напоминание, что даже техничный пользователь может стать жертвой. Антивирус не всегда остановит имплант, а пользовательская осведомленность — не панацея. Безопасность сегодня — это контроль поверхностей: от корпоративных политик до анализа трафика и поведения конечных точек.
BrowserVenom — сигнал. Если сотрудники скачивают LLM из поиска, если в инфраструктуре не контролируются настройки прокси, если нет поведенческого мониторинга — значит, есть окно. И в него уже постучались.