- 15 июня 2025 10:30
- Новость
Новый троян BrowserVenom атаковал пользователей DeepSeek
Злоумышленники создали фейковый сайт, неотличимый от оригинала, через который распространяли вредоностый exe-файл

Растущий интерес к языковым моделям привлекает внимание не только пользователей, но и киберпреступников, которые активно используют эту тенденцию в своих атаках. Одной из последних целей стала популярная ИИ-модель DeepSeek-R1. Злоумышленники создают фишинговые сайты, имитирующие официальные ресурсы, чтобы обмануть пользователей, ищущих доступ к чат-боту на базе DeepSeek-R1. Об этом пишет портал securitylab.ru.
Эксперты Лаборатории Касперского выявили новую волну атак, использующих поддельный установщик DeepSeek-R1. Он распространялся через фишинговый сайт, который активно рекламировался в поисковой выдаче Google. Сайт визуально практически неотличим от настоящего и определяет операционную систему посетителя. Пользователям Windows предлагается нажать кнопку "Try now", которая перенаправляет на страницу с поддельной CAPTCHA, якобы для защиты от ботов.
После прохождения CAPTCHA жертве предлагается скачать исполняемый файл AI_Launcher_1.21.exe с другого поддельного домена, нажав кнопку "Download now". Этот установщик содержит в себе скрытый вредоносный модуль. При запуске он отображает ещё одну фальшивую CAPTCHA и предлагает установить дополнительные ИИ-программы, такие как Ollama или LM Studio. В то же время в фоновом режиме выполняется функция MLInstaller.Runner.Run(), активирующая вредоносную нагрузку.
Модуль BrowserVenom проверяет наличие прав администратора. Если они есть, он устанавливает вредоносный сертификат в системное хранилище доверенных корневых центров сертификации. Затем происходят изменения в настройках популярных браузеров: Chromium-браузеры (Chrome, Edge, Opera, Brave и другие) перенастраиваются путем добавления аргумента `--proxy-server`, а ссылки (LNK-файлы) автоматически переписываются. Для Firefox и Tor Browser вносятся изменения в профиль пользователя.
Интересно, что в коде фишинговых страниц обнаружены комментарии на русском языке. География заражений демонстрирует масштаб атаки: жертвы обнаружены в Бразилии, Кубе, Мексике, Индии, Непале, Южной Африке и Египте.
Вредоносное ПО, детектируемое как HEUR:Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv, подчёркивает, насколько эффективно злоумышленники используют ажиотаж вокруг ИИ для своих целей.
Ранее BFM-Новосибирск писал о том, что в НГТУ разработали ИИ-навигатор для слабовидящих.
Рекомендуем:
Популярное
Что будет с пенсиями летом 2025 года: кому положены доплаты и увеличение выплат
Россияне массово снимают деньги с вкладов: что происходит в банках
Стало известно, когда мобилизованные на СВО новосибирцы вернутся домой
В Новосибирске скончался боксер Сергей Башкиров, известный как «Сибирский Тайсон»
Новосибирцы проводят в последний путь боксера Сергея Башкирова
Последние новости