В сети появилось новое вредоносное ПО для Windows, распространяемое под видом официального клиента генеративного ИИ DeepSeek-R1. Пользователи становятся жертвами фишингового сайта, который маскируется под официальный ресурс DeepSeek. Об этом сообщила пресс-служба компании «Лаборатория Касперского», основываясь на отчетах экспертов из Касперского GReAT.
Программа с ненастоящего сайта, наряду с легитимным клиентом DeepSeek, устанавливает на устройство вредоносное ПО BrowserVenom. Оно способно перехватывать интернет-трафик и следить за онлайн-активностью пользователя. Эта вредоносная кампания уже охватила пользователей в таких странах, как Бразилия, Мексика, Индия, Непал, Южная Африка, Египет и Куба.
Злоумышленники продвигают фишинговый сайт через рекламу в социальных сетях и поисковиках. Пользователи, ищущие «deepseek r1», рискуют попасть на подделку. При заходе на фальшивую страницу автоматически проверяется операционная система ПК, и если это Windows, то появляется кнопка «Попробовать сейчас».
При нажатии на данную кнопку загружается вредоносный установщик AILauncher1.21.exe. Затем пользователю предлагается выбрать и установить один из легитимных инструментов (Ollama или LM Studio) для работы с DeepSeek на Windows. Однако вместе с доступом к нейросети на устройство проникнет троянец BrowserVenom. Он внедряет вредоносный сертификат в систему и перенастраивает браузеры на использовании прокси-сервера злоумышленников. Это позволяет киберпреступникам получить доступ к конфиденциальным данным жертвы и следить за ее интернет-активностью, расшифровывая весь трафик.
Эксперты из «Лаборатории Касперского» отмечают, что злоумышленники активно используют нейросетевые приложения и сайты для продвижения вредоносного ПО и фишинга, маскируя их под легитимные клиенты для ChatGPT, Grok и DeepSeek. Компания предполагает, что подобные схемы могут использоваться и в других регионах. Пользователям рекомендуется тщательно проверять сайты перед вводом личных данных или скачиванием программ, а также применять надежные средства защиты для предотвращения киберугроз.
Продукты «Лаборатории Касперского» обеспечивают защиту от вредоносного ПО BrowserVenom, распознавая его как HEUR:Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv.