Нове шкідливе ПЗ маскується під клієнт DeepSeek-R1 для Windows

Час читання: 2 хв.

В інтернеті виявили шкідливе програмне забезпечення для Windows, яке маскується під офіційний клієнт генеративного ШІ DeepSeek-R1. Користувачів підштовхують завантажити його через фішинговий сайт, який імітує офіційний ресурс сервісу DeepSeek.

Програма з фішингового сайту містить не лише легітимний клієнт DeepSeek, а й шкідливий модуль BrowserVenom, який здатний перехоплювати інтернет-трафік користувача і відстежувати його активність онлайн. Кампанія вже зачепила користувачів у Бразилії, Мексиці, Індії, Непалі, Південній Африці, Єгипті та на Кубі.

Реклама

Зловмисники просувають фішинговий сайт через рекламні оголошення у пошукових системах. Ті, хто шукає DeepSeek для локального запуску на комп’ютері, ризикують натрапити на підробку. При вході на фальшиву сторінку автоматично відбувається перевірка операційної системи, і якщо це Windows, з’являється кнопка “Спробувати зараз”. Після її натискання починається завантаження шкідливого інсталятора AILauncher1.21.exe. Потім користувачеві пропонують вибрати й встановити один із легітимних інструментів (Ollama або LM Studio) для запуску DeepSeek локально.

Хоча користувач дійсно отримує доступ до нейромережі, одночасно на його пристрій потрапляє троян BrowserVenom (визнається антивірусами як HEUR:Trojan.Win32.Generic і Trojan.Win32.SelfDel.iwcv). Він встановлює шкідливий сертифікат у сховище сертифікатів і налаштовує браузери так, щоб весь інтернет-трафік проходив через проксі-сервер кіберзлочинців. Це дозволяє злочинцям збирати конфіденційну інформацію та стежити за активністю користувача в мережі, розшифровуючи весь трафік.

Експерти відзначають, що зловмисники часто використовують додатки та сайти нейромереж для поширення шкідливого ПЗ і фішингових атак, маскуючи їх під офіційні клієнти ChatGPT, Grok і DeepSeek. Компанія не виключає, що подібні схеми можуть з’явитися і в інших регіонах. У зв’язку з цим фахівці радять користувачам уважно перевіряти сайти перед введенням особистих даних або завантаженням програм і використовувати антивірусні засоби для захисту від кіберзагроз.