- 15 июня 2025 10:30
- Новость
Новый троян BrowserVenom атаковал пользователей DeepSeek
Злоумышленники создали фейковый сайт, неотличимый от оригинала, через который распространяли вредоностый exe-файл
фото yanalya с сайта ru.freepik.com
Растущий интерес к языковым моделям привлекает внимание не только пользователей, но и киберпреступников, которые активно используют эту тенденцию в своих атаках. Одной из последних целей стала популярная ИИ-модель DeepSeek-R1. Злоумышленники создают фишинговые сайты, имитирующие официальные ресурсы, чтобы обмануть пользователей, ищущих доступ к чат-боту на базе DeepSeek-R1. Об этом пишет портал securitylab.ru.
Эксперты Лаборатории Касперского выявили новую волну атак, использующих поддельный установщик DeepSeek-R1. Он распространялся через фишинговый сайт, который активно рекламировался в поисковой выдаче Google. Сайт визуально практически неотличим от настоящего и определяет операционную систему посетителя. Пользователям Windows предлагается нажать кнопку "Try now", которая перенаправляет на страницу с поддельной CAPTCHA, якобы для защиты от ботов.
После прохождения CAPTCHA жертве предлагается скачать исполняемый файл AI_Launcher_1.21.exe с другого поддельного домена, нажав кнопку "Download now". Этот установщик содержит в себе скрытый вредоносный модуль. При запуске он отображает ещё одну фальшивую CAPTCHA и предлагает установить дополнительные ИИ-программы, такие как Ollama или LM Studio. В то же время в фоновом режиме выполняется функция MLInstaller.Runner.Run(), активирующая вредоносную нагрузку.
Модуль BrowserVenom проверяет наличие прав администратора. Если они есть, он устанавливает вредоносный сертификат в системное хранилище доверенных корневых центров сертификации. Затем происходят изменения в настройках популярных браузеров: Chromium-браузеры (Chrome, Edge, Opera, Brave и другие) перенастраиваются путем добавления аргумента `--proxy-server`, а ссылки (LNK-файлы) автоматически переписываются. Для Firefox и Tor Browser вносятся изменения в профиль пользователя.
Интересно, что в коде фишинговых страниц обнаружены комментарии на русском языке. География заражений демонстрирует масштаб атаки: жертвы обнаружены в Бразилии, Кубе, Мексике, Индии, Непале, Южной Африке и Египте.
Вредоносное ПО, детектируемое как HEUR:Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv, подчёркивает, насколько эффективно злоумышленники используют ажиотаж вокруг ИИ для своих целей.
Ранее BFM-Новосибирск писал о том, что в НГТУ разработали ИИ-навигатор для слабовидящих.
поделиться
поделиться
Рекомендуем:
Популярное
Будет ли новая волна мобилизации: стало известно, есть ли предпосылки к осеннему призыву в 2025 году
ГИБДД введет комплекс мер - водители в шоке. С 1 августа 2025 года в России водителей ждут новые строгие правила
Водителей в России ждет сюрприз: с 26 июля начнутся рейды ГИБДД - будут изымать автомобили
«Контрактников может не хватить»: эксперты назвали триггеры для осенней мобилизации 2025 года
Российских пенсионеров ждет массовая индексация выплаты: кто получит прибавку и на сколько
Последние новости