Эксперты в области информационной безопасности выявили масштабную кибератаку, направленную на пользователей популярной нейросети DeepSeek. Злоумышленники создали поддельный веб-ресурс, имитирующий официальную платформу, через который распространяется новая разновидность вредоносного программного обеспечения под названием BrowserVenom. Данная угроза представляет серьезную опасность для конфиденциальности пользователей, поскольку способна перехватывать и анализировать весь сетевой трафик.
Механизм распространения вредоносной программы
Кибератака начинается с перенаправления потенциальных жертв на фишинговый сайт deepseek-platform[.]com. Преступники используют рекламные сервисы для продвижения поддельного ресурса, обеспечивая его появление в топе результатов поиска по запросу «deepseek r1» — одной из наиболее востребованных моделей искусственного интеллекта.
Алгоритм работы мошеннического сайта включает автоматическое определение операционной системы посетителя. В зависимости от обнаруженной ОС пользователю демонстрируется специально адаптированная страница с призывом к действию — кнопкой «Try now» («Попробовать сейчас»).
Техническая реализация атаки
При нажатии на активную кнопку автоматически загружается установочный файл AI_Launcher_1.21.exe, содержащий вредоносный код. Особенность данной атаки заключается в том, что пользователь действительно получает доступ к функциональности нейросети через легитимные инструменты — Ollama или LM Studio, предназначенные для локального запуска DeepSeek в операционной системе Windows.
Параллельно с установкой полезного программного обеспечения в систему внедряется троян BrowserVenom, который выполняет следующие деструктивные действия:
Компрометация сетевых соединений
Малварь устанавливает поддельный SSL-сертификат в системное хранилище и принудительно настраивает все браузеры на использование прокси-сервера, контролируемого злоумышленниками. Для браузеров на основе движка Chromium (Chrome, Microsoft Edge) троян модифицирует LNK-файлы, добавляя параметр proxy-server, а для браузеров семейства Gecko (Firefox, Tor Browser) изменяет конфигурационные файлы пользовательского профиля.
Глобальный масштаб угрозы
Анализ телemetрических данных показывает, что жертвами данной кибератаки уже стали пользователи из множества стран, включая Бразилию, Мексику, Индию, Непал, Южную Африку, Египет и Кубу. Географическое распределение атак свидетельствует о целенаправленной международной кампании киберпреступников.
Руководитель исследовательского подразделения одной из ведущих компаний в сфере кибербезопасности отмечает: «Под видом приложений и сайтов нейросетей злоумышленники активно распространяют вредоносное ПО и фишинговые ресурсы. Мы наблюдали аналогичные атаки, имитирующие клиенты для ChatGPT, Grok и других популярных AI-платформ».
Потенциальные последствия заражения
После успешного внедрения BrowserVenom киберпреступники получают практически неограниченный доступ к онлайн-активности жертвы. Троян способен перехватывать и расшифровывать HTTPS-трафик, что позволяет злоумышленникам получать доступ к:
• Учетным данным для входа в различные сервисы
• Банковской и финансовой информации
• Личной переписке и конфиденциальным документам
• Истории посещения веб-сайтов и поисковых запросов
Растущая популярность технологий искусственного интеллекта создает благоприятную почву для развития новых векторов кибератак. Пользователям следует проявлять повышенную осторожность при загрузке программного обеспечения, связанного с AI-технологиями, и всегда проверять подлинность источников. Использование современных антивирусных решений и регулярное обновление системы безопасности остаются ключевыми мерами защиты от подобных угроз.