Специалисты вновь фиксируют случаи злоупотребления интересом к популярным языковым моделям. На этот раз в поле зрения исследователей киберугроз оказалась кампания, маскирующая вредоносное ПО под установщик DeepSeek-R1. По информации, опубликованной экспертами в области информационной безопасности, злоумышленники используют фальшивый сайт и рекламу в Google для распространения вредоносного софта, который внедряет в систему имплант BrowserVenom.
По данным исследователей, новый эпизод фишинговой активности связан с сайтом, внешне неотличимым от официальной страницы DeepSeek. Сайт, продвигаемый через рекламные объявления, в поисковой выдаче занимает верхние строчки по запросу «deepseek r1». Именно отсюда начинается заражение — под видом загрузки популярного LLM-фреймворка пользователь скачивает вредоносный установщик AI_Launcher_1.21.exe.
Эксперты обнаружили, что после открытия поддельного сайта жертве предлагается пройти CAPTCHA, при этом используется скрытый JavaScript, который проверяет поведение посетителя. При успешной идентификации пользователя как «человека» он перенаправляется на страницу с кнопкой загрузки, после чего начинается установка заражённого файла.
Команда безопасности подчёркивает, что внутри вредоносного дистрибутива находится исполняемый файл, оформленный как элемент установки дополнительных инструментов. Как только пользователь нажимает одну из кнопок установки, активируется процедура MLInstaller.Runner.Run(), запускающая цепочку вредоносных действий.
В ходе исследования специалисты выявили, что установщик пытается внести пользовательскую папку в исключения антивируса. Для этого применяется расшифровка буфера с помощью алгоритма AES-256-CBC. Затем запускается PowerShell-скрипт, скачивающий дополнительный исполняемый файл с доменов, созданных с применением алгоритма генерации имён.
Имплант BrowserVenom, который загружается на последнем этапе, представляет серьёзную угрозу. Как уточнили аналитики, этот вредоносный элемент получает контроль над настройками браузеров. Он меняет конфигурации таким образом, чтобы весь трафик направлялся через прокси-сервер, управляемый злоумышленниками. Это даёт возможность не только перехватывать данные, но и подменять содержимое посещаемых страниц.
Оригинал публикации на сайте CISOCLUB: "Кибермошенники используют DeepSeek в качестве наживки и распространяют опасный имплант BrowserVenom".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.