Cybersecurity-Forscher haben eine sophisticated Malware-Kampagne aufgedeckt, die gezielt Nutzer der beliebten KI-Plattform DeepSeek ins Visier nimmt. Die als BrowserVenom bezeichnete Schadsoftware nutzt eine täuschend echte Fake-Website, um ahnungslose Anwender zu kompromittieren und deren gesamten Internetverkehr zu überwachen. Diese Attacke zeigt exemplarisch, wie Cyberkriminelle die wachsende Popularität von Künstlicher Intelligenz für ihre Zwecke ausnutzen.
Raffinierte Verbreitungsstrategie über Suchmaschinen
Die Angreifer setzen auf eine mehrstufige Strategie, um ihre Opfer zu erreichen. Über bezahlte Werbeanzeigen platzieren sie die betrügerische Domain deepseek-platform[.]com prominent in den Suchergebnissen für den Begriff „deepseek r1“. Diese Taktik erweist sich als besonders effektiv, da es sich um eine der gefragtesten KI-Modelle handelt.
Besonders perfide: Die Fake-Website erkennt automatisch das Betriebssystem des Besuchers und passt die Darstellung entsprechend an. Nutzer sehen eine professionell gestaltete Seite mit einem verlockenden „Try now“-Button, der zum sofortigen Download auffordert.
Technische Analyse der BrowserVenom-Infektion
Nach dem Klick auf die Schaltfläche wird automatisch die Datei AI_Launcher_1.21.exe heruntergeladen. Diese enthält sowohl legitime Software-Komponenten als auch die BrowserVenom-Malware. Tatsächlich erhalten Nutzer funktionsfähige Tools wie Ollama oder LM Studio, die DeepSeek lokal unter Windows ausführen können – ein cleverer Schachzug, der Verdacht vermeidet.
Parallel zur nützlichen Software installiert sich jedoch der Trojaner im Hintergrund und führt weitreichende Systemmodifikationen durch. Die Malware manipuliert die Browser-Konfiguration auf verschiedenen Ebenen, um eine vollständige Kontrolle über den Datenverkehr zu erlangen.
Manipulation der Netzwerkkommunikation
BrowserVenom implementiert einen besonders ausgeklügelten Angriff auf die Netzwerksicherheit. Die Schadsoftware installiert gefälschte SSL-Zertifikate im Systemspeicher und zwingt alle Browser zur Nutzung eines von den Angreifern kontrollierten Proxy-Servers. Bei Chromium-basierten Browsern wie Chrome und Edge werden die Verknüpfungsdateien mit Proxy-Parametern modifiziert, während bei Firefox und Tor Browser die Profil-Konfigurationsdateien direkt manipuliert werden.
Internationale Ausbreitung der Bedrohung
Telemetriedaten zeigen eine besorgniserregende geografische Verteilung der Infektionen. Betroffen sind Nutzer in Brasilien, Mexiko, Indien, Nepal, Südafrika, Ägypten und Kuba. Diese Streuung deutet auf eine koordinierte internationale Cybercrime-Operation hin, die gezielt Schwellenländer mit wachsender KI-Adoption anvisiert.
Sicherheitsexperten warnen vor einem Trend zunehmender KI-bezogener Cyberattacken. „Wir beobachten eine deutliche Zunahme von Malware-Kampagnen, die sich als ChatGPT-, Grok- oder andere KI-Anwendungen tarnen“, erklärt ein führender Cybersecurity-Analyst.
Weitreichende Konsequenzen für Betroffene
Nach erfolgreicher Installation verschafft sich BrowserVenom umfassenden Zugang zur Online-Aktivität der Opfer. Durch die Manipulation der SSL-Verschlüsselung können die Angreifer selbst HTTPS-gesicherte Verbindungen entschlüsseln und mitlesen. Dies ermöglicht den Diebstahl von:
• Login-Credentials für Online-Dienste und Social Media
• Banking-Daten und Kreditkarteninformationen
• Private E-Mails und vertrauliche Dokumente
• Browsing-Verhalten und Suchhistorie
Die rasante Entwicklung im KI-Sektor schafft neue Angriffsvektoren für Cyberkriminelle, die das Vertrauen und die Neugier der Nutzer ausnutzen. Besondere Vorsicht ist beim Download von KI-Software geboten – ausschließlich offizielle Quellen sollten genutzt werden. Moderne Endpoint-Protection-Lösungen und regelmäßige Sicherheitsupdates bilden nach wie vor das Fundament einer robusten Cyber-Abwehr gegen solche raffinierten Bedrohungen.
