Подозреваемые киберпреступники создали поддельный установщик для китайской модели искусственного интеллекта DeepSeek-R1 и загрузили в него ранее неизвестную вредоносную программу под названием «BrowserVenom».Название вредоносной программы отражает ее способность перенаправлять весь трафик из браузеров через сервер, контролируемый злоумышленником.Это позволяет злоумышленникам красть данные, отслеживать активность в интернете и потенциально предоставлять доступ к открытому текстовому трафику. Таким образом, под угрозой находятся учетные данные для веб–сайтов, сессионные файлы cookie, информация о финансовом счете, а также конфиденциальные электронные письма и документы — именно та информация, которую ищут мошенники, чтобы совершить цифровое мошенничество и/или продать другим злоумышленникам.На сегодняшний день вредоносная программа заразила «множество» компьютеров в Бразилии, на Кубе, в Мексике, Индии, Непале, Южной Африке и Египте. Компания Kaspersky, которая обнаружила фишинговую кампанию, распространяющую вредоносное ПО, отправляя жертв на поддельный веб-сайт, похожий на настоящую домашнюю страницу DeepSeek, заявила, что она продолжает «представлять глобальную угрозу”.
Хотя вредоносное ПО, используемое в этой кампании, является новым, тактика использования интереса к искусственному интеллекту распространение вредоносных программ становится все более распространенным явлением.В таких кампаниях используются фишинговые сайты, доменные имена которых немного отличаются от доменных имен реальных поставщиков искусственного интеллекта, а преступники используют вредоносную рекламу и другие тактические приемы, чтобы они выделялись в результатах поиска. Но вместо того, чтобы предоставить обещанного чат-бота или инструмент искусственного интеллекта, они заражают невольных жертв всем подряд — от вредоносных программ, крадущих учетные данные и кошельки, до программ-вымогателей и кода для взлома Windows.
В этой кампании использовался URL-адрес https[:]//deepseek-platform[.]com.Злоумышленники рекламировали этот адрес многим потенциальным жертвам, покупая рекламу у Google, поэтому он отображался в качестве главного результата при поиске пользователями «deepseek r1».
Google сообщает, что удалил рекламу, на которую была направлена атака. «До публикации этого отчета мы обнаружили эту вредоносную кампанию и заблокировали учетную запись рекламодателя”, — сообщил представитель Google изданию The Register. Как только пользователи Windows попадают на сайт, им предлагается нажать кнопку с надписью «Попробовать сейчас». Касперский заметил, что пользователям на других платформах отображаются аналогичные вводящие в заблуждение кнопки с другой формулировкой.Нажав на кнопку, пользователь попадает на экран ввода капчи, что придает сайту видимость легитимности. Страница также содержит скрытый JavaScript, который проверяет, не является ли пользователь ботом, чтобы мошенники знали, что они нашли человека, на которого стоит ориентироваться.
После разгадывания КАПЧИ жертва перенаправляется на страницу загрузки с кнопкой «Загрузить сейчас». Нажатие кнопки, при котором загружается вредоносный установщик, AI_Launcher_1.21.exe, с этого домена: https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe.
По словам Касперского, код сайта злоумышленников содержит комментарии на русском языке, что позволяет предположить, что они владеют этим языком. Однако The security shop не приписывает эту кампанию какой-либо конкретной киберпреступной группе или отдельному лицу.
Программа установки при запуске открывает другое окно, имитирующее капчу Cloudflare (также поддельную), которая еще раз подтверждает, что жертва — человек. Затем вредоносная программа перенаправляет пользователя на экран, предлагающий загрузить и установить Ollama или LM Studio для запуска DeepSeek. Не имеет значения, на какой из них пользователь нажимает: любой из них запускает заражение BrowserVenom.
При запуске вредоносная программа сначала проверяет, есть ли у пользователя права администратора. Если нет, вредоносная программа останавливается.
Для тех, кто, по их мнению, заслуживает заражения, BrowserVenom устанавливает созданный злоумышленником жестко запрограммированный сертификат, тем самым предоставляя злоумышленникам постоянный доступ и позволяя им перехватывать трафик.
BrowserVenom также добавляет жестко запрограммированный адрес прокси-сервера ко всем установленным и запущенным в данный момент браузерам, что также позволяет своим операторам отслеживать трафик жертв.
А затем они приступают к своим зловещим делам. ®
