Добавить в корзинуПозвонить
Найти в Дзене
BFM-Новосибирск
9297 подписчиков

Новый троян BrowserVenom атаковал пользователей DeepSeek

2
1 мин
Растущий интерес к языковым моделям привлекает внимание не только пользователей, но и киберпреступников, которые активно используют эту тенденцию в своих атаках. Одной из последних целей стала популярная ИИ-модель DeepSeek-R1. Злоумышленники создают фишинговые сайты, имитирующие официальные ресурсы, чтобы обмануть пользователей, ищущих доступ к чат-боту на базе DeepSeek-R1. Об этом пишет портал securitylab.ru. Эксперты Лаборатории Касперского выявили новую волну атак, использующих поддельный установщик DeepSeek-R1. Он распространялся через фишинговый сайт, который активно рекламировался в поисковой выдаче Google. Сайт визуально практически неотличим от настоящего и определяет операционную систему посетителя. Пользователям Windows предлагается нажать кнопку "Try now", которая перенаправляет на страницу с поддельной CAPTCHA, якобы для защиты от ботов. После прохождения CAPTCHA жертве предлагается скачать исполняемый файл AI_Launcher_1.21.exe с другого поддельного домена, нажав кнопку "Do

Растущий интерес к языковым моделям привлекает внимание не только пользователей, но и киберпреступников, которые активно используют эту тенденцию в своих атаках. Одной из последних целей стала популярная ИИ-модель DeepSeek-R1. Злоумышленники создают фишинговые сайты, имитирующие официальные ресурсы, чтобы обмануть пользователей, ищущих доступ к чат-боту на базе DeepSeek-R1. Об этом пишет портал securitylab.ru.

Эксперты Лаборатории Касперского выявили новую волну атак, использующих поддельный установщик DeepSeek-R1. Он распространялся через фишинговый сайт, который активно рекламировался в поисковой выдаче Google. Сайт визуально практически неотличим от настоящего и определяет операционную систему посетителя. Пользователям Windows предлагается нажать кнопку "Try now", которая перенаправляет на страницу с поддельной CAPTCHA, якобы для защиты от ботов.

После прохождения CAPTCHA жертве предлагается скачать исполняемый файл AI_Launcher_1.21.exe с другого поддельного домена, нажав кнопку "Download now". Этот установщик содержит в себе скрытый вредоносный модуль. При запуске он отображает ещё одну фальшивую CAPTCHA и предлагает установить дополнительные ИИ-программы, такие как Ollama или LM Studio. В то же время в фоновом режиме выполняется функция MLInstaller.Runner.Run(), активирующая вредоносную нагрузку.

Модуль BrowserVenom проверяет наличие прав администратора. Если они есть, он устанавливает вредоносный сертификат в системное хранилище доверенных корневых центров сертификации. Затем происходят изменения в настройках популярных браузеров: Chromium-браузеры (Chrome, Edge, Opera, Brave и другие) перенастраиваются путем добавления аргумента `--proxy-server`, а ссылки (LNK-файлы) автоматически переписываются. Для Firefox и Tor Browser вносятся изменения в профиль пользователя.

Интересно, что в коде фишинговых страниц обнаружены комментарии на русском языке. География заражений демонстрирует масштаб атаки: жертвы обнаружены в Бразилии, Кубе, Мексике, Индии, Непале, Южной Африке и Египте.

Вредоносное ПО, детектируемое как HEUR:Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv, подчёркивает, насколько эффективно злоумышленники используют ажиотаж вокруг ИИ для своих целей.

Ранее BFM-Новосибирск писал о том, что в НГТУ разработали ИИ-навигатор для слабовидящих.

фото yanalya с сайта ru.freepik.com

Гаджеты и электроника
5,73 млн интересуются