Эксперты «Лаборатории Касперского» обнаружили фишинговый сайт, который маскируется под официальный ресурс DeepSeek и предлагает скачать модель DeepSeek-R1 для Windows.
Эксперты Kaspersky GReAT обнаружили фишинговый сайт, маскирующийся под официальный ресурс DeepSeek. На нем предлагают скачать модель DeepSeek-R1 для ПК, но вместо этого пользователи получают троянец BrowserVenom. Эта вредоносная программа перехватывает трафик, отслеживает активность в сети и устанавливает поддельный сертификат, чтобы расшифровывать данные. Атака затронула пользователей в Бразилии, Мексике, Индии, Непале, Южной Африке, Египте и на Кубе.
Злоумышленники продвигают поддельный сайт через рекламу в поисковиках. Когда пользователь ищет «deepseek r1», он может попасть на фальшивую страницу, которая автоматически проверяет ОС. Если это Windows, появляется кнопка «Попробовать сейчас». После нажатия скачивается вредоносный файл AI_Launcher_1.21.exe. Далее жертве предлагают установить легитимные инструменты Ollama или LM Studio для работы с нейросетью, но параллельно внедряется BrowserVenom. Троянец устанавливает вредоносный сертификат в хранилище сертификатов и настраивает браузеры на принудительное использование прокси-сервера злоумышленников, позволяя им перехватывать и расшифровывать конфиденциальные данные.
«Мы видели троянцев и вредоносные скрипты, которые мимикрировали под клиенты для ChatGPT, Grok и DeepSeek. С новой кампанией столкнулись пользователи сразу в нескольких странах мира. Не исключаем, что атакующие могут применять подобные схемы и в других регионах, в том числе в России».
Дмитрий Галов, руководитель Kaspersky GReAT
Эксперты Kaspersky рекомендуют проверять сайты перед вводом конфиденциальных данных и использовать защитные решения.