Эксперты «Лаборатории Касперского» выявили новую мошенническую атаку с использованием вредоносной рекламы под видом DeepSeek. Злоумышленники распространяют вредоносное ПО BrowserVenom через фишинговый сайт и перенаправляют трафик через прокси.
Атака затронула пользователей из Бразилии, Мексики, Индии, Непала, Южной Африки, Египта и с Кубы. Характер и географическое распределение атак указывают на глобальную угрозу.
Под видом DeepSeek
Мошенники создали фишинговый сайт, расположенный по адресу https[:]//deepseek-platform[.]com, который полностью имитирует официальный сайт DeepSeek и якобы предлагает загрузку ИИ-программы на ПК. Для привлечения трафика они разместили рекламу сайта на поиске Google через Google Ads по запросу “deepseek r1”.
Как только пользователь попадает на сайт, то система распознает ОС жертвы. В зависимости от этого будет отображаться соответствующая кнопка на скачивание. Если операционной системой пользователя оказывается Windows, то будет отображаться кнопка «Попробовать», при нажатии на которую на экране появляется окно с капчей.
На самом деле это не настоящая капча, а обфусцированный JavaScript-код, который после клика перенаправляет пользователя на сайт proxy1.php с кнопкой «Скачать». При нажатии на эту кнопку на устройство жертвы загружается вредоносный установщик AI_Launcher_1.21.exe.
Вредоносный установщик
AI_Launcher_1.21.exe запускает следующий этап вредоносной атаки и показывает на экране ПК еще одно окно, но уже с капчей Cloudflare. Как только пользователь ставит галочку, открывается следующий экран, который предлагает скачать дополнительные ИИ-программы — Ollama и LM Studio.
Нажатие на любую из кнопок «Установить» загружает установщик, однако одновременно с этим запускается другая функция — MLInstaller.Runner.Run(). Она и инициирует загрузку троянца-шпиона.
Загрузка BrowserVenom
Троянец BrowserVenom изменяет настройки браузера, чтобы принудительно перенаправлять трафик через прокси-сервер, контролируемый злоумышленниками. Это позволяет им перехватывать конфиденциальные данные (пароли, cookie, финансовую информацию) и отслеживать интернет-активность жертвы.
Вредонос способен добавлять жестко заданный адрес прокси-сервера во все установленные и запущенные в данный момент браузеры.
Как обезопасить себя
Эксперты советуют пользователям проверять URL-адреса сайтов на корректность (https[:]//deepseek-platform[.]com → https://www.deepseek.com/), которые они посещают, чтобы убедиться, что ресурс достоверен. Также рекомендуется обращать внимание на наличие/отсутствие сертификатов сайта (http → https). Соблюдение этих мер предосторожности может помочь избежать заражения устройств вредоносным ПО.
Это не первая фишинговая атака под видом ИИ-сервиса. Ранее мошенники распространяли троянский вредонос через поддельный сайт Kling AI. Тогда они также использовали технологию malvertising.
