Los investigadores de ciberseguridad han identificado una sofisticada campaña de malware dirigida específicamente a usuarios de la popular plataforma de inteligencia artificial DeepSeek. La amenaza, denominada BrowserVenom, utiliza un sitio web fraudulento que imita la plataforma oficial para distribuir código malicioso capaz de interceptar todo el tráfico de red de las víctimas.
Estrategia de Distribución del Malware BrowserVenom
Los ciberdelincuentes han implementado una estrategia de distribución altamente efectiva mediante el dominio fraudulento deepseek-platform[.]com. Utilizando servicios de publicidad pagada, logran posicionar este sitio malicioso en los primeros resultados de búsqueda para términos relacionados con «deepseek r1», aprovechando la creciente popularidad de esta herramienta de IA.
El mecanismo de infección comienza con la detección automática del sistema operativo del visitante. Una vez identificada la plataforma, el sitio presenta una interfaz personalizada con un botón «Try now» que activa la descarga del archivo malicioso AI_Launcher_1.21.exe.
Funcionamiento Técnico de la Infección
La particularidad de este ataque radica en su capacidad para proporcionar funcionalidad legítima mientras instala componentes maliciosos. Los usuarios efectivamente obtienen acceso a herramientas reales como Ollama o LM Studio para ejecutar DeepSeek localmente en Windows, lo que reduce las sospechas sobre la instalación.
Compromiso de Conexiones de Red
Una vez ejecutado, BrowserVenom implementa múltiples técnicas de persistencia y evasión. El malware instala certificados SSL falsos en el almacén del sistema y configura forzosamente todos los navegadores para utilizar un servidor proxy controlado por los atacantes.
Para navegadores basados en Chromium como Chrome y Microsoft Edge, el trojan modifica los archivos de acceso directo (LNK) agregando parámetros de proxy-server. En el caso de navegadores Firefox y Tor Browser, altera directamente los archivos de configuración del perfil de usuario.
Alcance Internacional de la Amenaza
Los datos de telemetría revelan que esta campaña de ciberataques ha afectado usuarios en múltiples países, incluyendo Brasil, México, India, Nepal, Sudáfrica, Egipto y Cuba. Esta distribución geográfica indica una operación coordinada a escala internacional.
Según expertos en ciberseguridad, «Los atacantes están aprovechando activamente la popularidad de las aplicaciones de IA para distribuir malware y sitios de phishing. Hemos observado campañas similares que imitan clientes para ChatGPT, Grok y otras plataformas de inteligencia artificial populares».
Impacto y Consecuencias del Compromiso
Una vez que BrowserVenom se establece en el sistema, los atacantes obtienen acceso prácticamente ilimitado a la actividad en línea de la víctima. La capacidad del malware para interceptar y descifrar tráfico HTTPS permite el acceso a información crítica, incluyendo credenciales de acceso, datos bancarios, comunicaciones privadas e historial de navegación.
Esta amenaza representa un riesgo significativo para la privacidad y seguridad financiera de los usuarios, especialmente considerando que puede operar de manera sigilosa durante períodos prolongados sin detección.
Medidas de Protección y Prevención
El crecimiento exponencial del interés en tecnologías de inteligencia artificial ha creado un entorno propicio para nuevos vectores de ataque. Los usuarios deben ejercer extrema precaución al descargar software relacionado con IA y siempre verificar la autenticidad de las fuentes oficiales.
La implementación de soluciones antivirus actualizadas, el mantenimiento regular de sistemas de seguridad y la educación sobre técnicas de phishing constituyen las principales líneas de defensa contra amenazas como BrowserVenom. Además, es fundamental verificar la legitimidad de los sitios web antes de descargar cualquier software, especialmente cuando se trata de herramientas populares de inteligencia artificial.
