«Лаборатория Касперского» нашла вирус под видом DeepSeek

Эксперты по безопасности обнаружили в интернете вредоносное ПО для Windows, которое маскируется под официального клиента генеративного ИИ DeepSeek-R1. Злоумышленники убеждают жертв скачать его с фишингового сайта, сделанного под официальный сервис DeepSeek. 

Согласно данным компании «Лаборатория Касперского», которые приводит «Газета.Ru», программа содержит вредоносное ПО BrowserVenom, которое перехватывает трафик жертвы и следит за ее активностью в сети. Вредоносная кампания уже затронула пользователей в Бразилии, Мексике, Индии, Непале, Южной Африке, Египте и на Кубе. 

Хакеры продвигают фишинговый сайт с помощью рекламы в поисковой выдаче. По данным экспертов, пользователи могут столкнуться с подделкой, пытаясь найти в интернете «deepseek r1». При переходе на фейковую страницу автоматически запускается проверка операционной системы ПК. Если обнаружена Windows, на экране появляется кнопка «Попробовать сейчас». 

При нажатии на эту кнопку загружается вредоносный установщик AILauncher1.21.exe. После жертве предлагают выбрать и установить один из легитимных инструментов (Ollama или LM Studio) для локального запуска DeepSeek на Windows. 

Пользователь действительно получает доступ к DeepSeek, однако вместе с этим на его устройство устанавливается троянец BrowserVenom. Он настраивает вредоносный сертификат в хранилище сертификатов, а также браузеры на зараженном компьютере так, чтобы они принудительно использовали прокси-сервер злоумышленников. Это позволяет киберпреступникам собирать конфиденциальные данные жертвы и отслеживать ее активность в интернете, расшифровывая весь трафик. 

В «Лаборатории Касперского» отмечают, что злоумышленники активно используют приложения и сайты нейросетей для распространения вредоносного ПО и фишинга, маскируя их под легитимные клиенты для ChatGPT, Grok и DeepSeek. Компания не исключает, что подобные схемы атак могут применяться и в других регионах. В связи с этим эксперты призывают пользователей тщательно проверять сайты перед вводом конфиденциальных данных или скачиванием программ, а также использовать надежные защитные решения для предотвращения киберугроз. 

Ранее стало известно о том, что в период с января по апрель текущего года в России был зафиксирован существенный рост киберпреступлений, эксплуатирующих популярность детских брендов для распространения вредоносного программного обеспечения. Количество подобных инцидентов увеличилось на 19%.