AI-nak álcázott trójaiak terjesztése DeepSeek csalival
A mesterséges intelligencia világának egyik jelentős eseményei közé tartozott 2025 elején a DeepSeek-R1, egy nagy teljesítményű, nagy nyelvi modell (LLM) megjelenése. Mivel a DeepSeek volt az első olyan szolgáltatás, amely széles közönség számára kínált hozzáférést egy reasoning LLM-hez, gyorsan népszerűvé vált. Természetesen ezt a hatalmas érdeklődést a kiberbűnözők is kihasználják.
A Kaspersky belső fenyegetéselemzési adatainak elemzése során több weboldalt is azonosított, amelyek a DeepSeek hivatalos chatbot-oldalát utánozták és a szolgáltatás kliensének álcázott rosszindulatú kódot terjesztettek. Ezek közé tartoztak olyan domainek, amelyek neve DeepSeek modellverziókra utaltak: r1-deepseek[.]net; v3-deepseek[.]com. Ezeken az oldalakon nincs lehetőség chat indítására, hanem csak egy alkalmazás letöltésére van lehetőség. A valódi DeepSeek azonban nem rendelkezik hivatalos Windows klienssel.
A „Get DeepSeek App” gombra kattintva letöltődik a deep-seek-installation.zip fájl, amely tartalmazza a DeepSeek Installation.lnk fájlt, amely egy URL-t tartalmaz. A Kaspersky kutatásának közzététele idején a támadók módosították a v3-deepseek[.]com tartományban elhelyezett hamis oldalt. Ez most arra kéri a felhasználókat, hogy töltsék le az xAI által kifejlesztett Grok modellhez tartozó klienst. Hasonló tevékenységet figyelt meg a Kaspersky a v3-grok[.]com tartományban is. A kliensnek álcázott archívum neve grok-ai-installation.zip, amely ugyanazt a parancsikont tartalmazza. Az .lnk fájl futtatásával a parancsikonban található URL címen található szkript lefut. Ez a szkript letölti és kicsomagolja az f.zip nevű archívumot. Ezután a szkript lefuttatja a kicsomagolt archívumból az 1.bat fájlt. A letöltött archívum tartalmazza az svchost.exe és a python.py fájlokat is. Az első egy legitim python.exe fájl, amelyet átneveztek, és így egy Windows-folyamatot utánoz, hogy megtévessze a felhasználókat.
Ezt a python.py fájl indítására használják, amely a payload-ot tartalmazza. Ez egy Python nyelven írt stealer szkript, amelyet korábban még nem azonosított a Kaspersky. Ha sikeresen lefut a fájl, a támadók rengeteg adatot szereznek meg az áldozat számítógépéről, többek között cookie-kat és session tokeneket különböző böngészőkből, e-mail, játék- és egyéb fiókok bejelentkezési adatait, bizonyos kiterjesztésű fájlokat, kriptopénztárca információkat. A szükséges adatok begyűjtése után a szkript archívumot hoz létre, majd azt vagy elküldi a kiberszereplőknek egy Telegram-bot segítségével, vagy feltölti a Gofile fájlmegosztó szolgáltatásra. A Kaspersky emellett két további eljárást (Scheme 2,3) is azonosított.
A további kártékony domainek:
deepseek-pc-ai[.]com
deepseek-ai-soft[.]com
app.delpaseek[.]com
app.deapseek[.]com
dpsk.dghjwd[.]cn
deep-seek[.]bar
deep-seek[.]rest
Az általános kiberhigiénia részeként javasolt mindig gondosan ellenőrizni a meglátogatott webhelyek címeit, különösen, ha a linkek nem ellenőrzött forrásokból származnak. Ez különösen igaz a népszerű szolgáltatások esetében, így megelőzhetőek a Kaspersky által is részletezett eset és elkerülhető az eszközfertőzés és a személyes adatok elvesztése.
