BrowserVenom
A Kaspersky GReAT kutatói BrowserVenom nevű kártevőt fedeztek fel, amelyet egy új Windows-alapú phishing kampányban terjesztenek a DeepSeek‑R1 mesterséges intelligencia körüli hamis alkalmazáskörnyezetnek álcázva. A támadók Google Ads segítségével első helyen jelenítik meg a DeepSeek keresési eredményeit, majd CAPTCHA-val elrejtett hamis letöltési felületen keresztül telepíttetik az AI_Launcher_1.21.exe fájlt.
A letöltött telepítő egy erősen obfuszkált második stádiumú implantot futtat memóriából, amely feltelepíti a BrowserVenom nevű komponenst. Ez manipulálja a telepített böngészőket – Chromium-alapú (Chrome, Edge), valamint Gecko-alapú (Mozilla, Tor) – és minden forgalmat egy támadó által kontrollált proxyhoz irányít. Ehhez egy általuk generált tanúsítványt importál a rendszer megbízható gyökérkönyvtárába, ezáltal semmiféle biztonsági figyelmeztetés nélkül tudják dekódolni és manipulálni a titkosított HTTPS-forgalmat.
Ez a technika lehetővé teszi a hitelesítő adatok, session cookie-k, kriptotárca kulcsok kiszivárogtatását, valamint a böngésző tevékenységének teljes monitorozását – például államilag finanszírozott kémtevékenységhez is használható.
Az AI‑környezetek iránti igény és bizalom könnyen kihasználható. A hamis Google hirdetések és az álcázott letöltési felületek hatékony bejáratot jelentenek – azonnali gyanú esetén is – bárhol a világon, például Brazíliában, Indiában, Mexikóban, Egyiptomban vagy Dél‑Afrikában.
A BrowserVenom viselkedése azt mutatja, hogy a támadók nem egyszerű adatlopó modulokat használnak, hanem teljes adatforgalom-alapú MITM képességet élesítenek.
