Опасная ловушка — вирус маскируется под DeepSeek-R1 и крадет данные

В интернете обнаружена новая волна кибератак, в ходе которой вредоносное ПО маскируется под официальный клиент генеративного ИИ DeepSeek-R1 для Windows. Об этом сообщили специалисты пресс-службы "Лаборатории Касперского", ссылаясь на исследователей из Глобального центра анализа угроз Kaspersky GReAT. Злоумышленники создают фишинговые сайты, практически полностью повторяющие дизайн настоящего ресурса DeepSeek, чтобы обмануть пользователей и заставить их скачать вредоносное ПО.

При посещении такого сайта система проверяет операционную систему посетителя, и если обнаруживается Windows, появляется кнопка с предложением "Попробовать сейчас". После её нажатия запускается загрузка файла AILauncher1.21.exe — вредоносного установщика, который, помимо легитимного клиента DeepSeek, содержит троян BrowserVenom. Это ПО способно перехватывать интернет-трафик, устанавливать вредоносные сертификаты и перенастраивать браузеры, направляя трафик через прокси-серверы злоумышленников. Таким образом, хакеры получают доступ к личным данным и онлайн-активности пользователей.

Эксперты предупреждают об опасности и новых методах атак

Вредоносная кампания уже затронула пользователей из Бразилии, Мексики, Индии, Непала, Южной Африки, Египта и Кубы. В "Лаборатории Касперского" подчёркивают, что злоумышленники всё активнее используют популярность нейросетевых сервисов, таких как DeepSeek, ChatGPT и Grok, чтобы распространять вредоносное ПО под видом официальных клиентов. Это указывает на растущую угрозу фишинговых атак, которые могут вскоре затронуть и другие регионы.

Специалисты настоятельно рекомендуют пользователям тщательно проверять адреса сайтов, избегать загрузки программ из непроверенных источников и использовать современные средства защиты для предотвращения кражи данных и заражения устройств вредоносным ПО.