На фишинговом сайте, где предлагается загрузить DeepSeek-R1 для Windows, распространяется ранее неизвестный троянец для кражи данных
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили фишинговый ресурс, имитирующий официальный сайт DeepSeek, где предлагается скачать модель DeepSeek-R1 для ПК. Однако на самом деле под видом приложения для Windows распространяется новая зловредная программа, которая перехватывает трафик жертвы и следит за её активностью в сети. Специалисты назвали троянец BrowserVenom. С вредоносной кампанией столкнулись пользователи в разных странах: Бразилии, Мексике, Индии, Непале, Южной Африке, Египте, на Кубе.
Поддельный сайт DeepSeek. Злоумышленники продвигают фишинговый ресурс через рекламу в поисковой выдаче. Пользователи рискуют столкнуться с подделкой, когда пытаются найти в интернете «deepseek r1». Как только человек заходит на фальшивую страницу, запускается автоматическая проверка операционной системы его ПК. Если это Windows, то на экране появляется кнопка «Попробовать сейчас».
Троянец BrowserVenom. Если человек кликнет на кнопку, он скачает вредоносный установщик с названием AI_Launcher_1.21.exe. Затем ему будет предложено загрузить на выбор один из легитимных инструментов — Ollama или LM Studio — для локального запуска DeepSeek на Windows. Пользователь действительно получит доступ к нейросети, однако на его устройство также проникнет BrowserVenom. Троянец устанавливает вредоносный сертификат в хранилище сертификатов и настраивает браузеры на заражённом компьютере на принудительное использование прокси-сервера злоумышленников. Таким образом они могут собирать конфиденциальные данные жертвы и отслеживать её активность в интернете, расшифровывая трафик.
«Под видом приложений и сайтов нейросетей злоумышленники активно распространяют вредоносное ПО и фишинговые ресурсы. Мы видели троянцев и вредоносные скрипты, которые мимикрировали под клиенты для ChatGPT, Grok и DeepSeek. С новой кампанией столкнулись пользователи сразу в нескольких странах мира. Не исключаем, что атакующие могут применять подобные схемы и в других регионах, в том числе в России, — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России. — Поэтому очень важно проверять сайты прежде, чем вводить на них конфиденциальные данные или скачивать программы, к тому же для защиты от киберугроз стоит использовать защитное решение».
Продукты «Лаборатории Касперского» защищают от вредоносного ПО BrowserVenom, детектируя его как HEUR:Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
