Фахівці з кібербезпеки зафіксували появу нової масштабної загрози, спрямованої проти користувачів популярної нейромережі DeepSeek. Кіберзлочинці розгорнули складну атаку з використанням підробленого веб-ресурсу, через який поширюють троян BrowserVenom – шкідливе програмне забезпечення, здатне перехоплювати весь мережевий трафік жертви.
Схема розповсюдження через фальшивий сайт
Атака починається з перенаправлення потенційних жертв на фішинговий домен deepseek-platform[.]com. Зловмисники активно використовують рекламні платформи для просування підробленого ресурсу, забезпечуючи його високі позиції в результатах пошуку за запитом “deepseek r1” – однієї з найпопулярніших AI-моделей.
Технічна реалізація атаки включає автоматичне визначення операційної системи відвідувача. Залежно від виявленої ОС користувачеві показується спеціально адаптована сторінка з кнопкою “Try now”, яка ініціює завантаження шкідливого файлу.
Механізм впровадження BrowserVenom
При натисканні на активну кнопку автоматично завантажується установочний файл AI_Launcher_1.21.exe, що містить троян. Особливістю цієї атаки є те, що користувач дійсно отримує доступ до функціональності нейромережі через легітимні інструменти – Ollama або LM Studio, призначені для локального запуску DeepSeek у Windows.
Паралельно з встановленням корисного програмного забезпечення відбувається впровадження трояна BrowserVenom, який виконує ряд деструктивних дій для компрометації мережевих з’єднань.
Компрометація браузерів і мережевого трафіку
Шкідливе ПЗ встановлює підроблений SSL-сертифікат у системне сховище та примусово налаштовує всі браузери на використання прокси-сервера, контрольованого кіберзлочинцями. Для браузерів на базі Chromium (Chrome, Microsoft Edge) троян модифікує LNK-файли, додаючи параметр proxy-server, а для браузерів сімейства Gecko (Firefox, Tor Browser) змінює конфігураційні файли користувацького профілю.
Географічний масштаб кібератаки
Аналіз телеметричних даних свідчить про міжнародний характер кампанії. Жертвами атаки вже стали користувачі з Бразилії, Мексики, Індії, Непалу, Південної Африки, Єгипту та Куби. Така географічна різноманітність підтверджує цілеспрямованість та організованість злочинної діяльності.
Експерти відзначають тенденцію зростання кількості атак, що маскуються під додатки та сайти нейромереж. Аналогічні схеми раніше спостерігалися при імітації клієнтів для ChatGPT, Grok та інших популярних AI-платформ.
Потенційні наслідки зараження системи
Після успішного впровадження BrowserVenom кіберзлочинці отримують практично необмежений доступ до онлайн-активності жертви. Троян здатний перехоплювати та розшифровувати HTTPS-трафік, що дозволяє зловмисникам отримувати доступ до облікових даних, банківської інформації, особистого листування та історії відвідування веб-сайтів.
Зростаюча популярність технологій штучного інтелекту створює сприятливе середовище для розвитку нових векторів кібератак. Користувачам слід проявляти підвищену обережність при завантаженні програмного забезпечення, пов’язаного з AI-технологіями, завжди перевіряти автентичність джерел та використовувати сучасні антивірусні рішення з регулярним оновленням системи безпеки.
