Eνα νέο κύμα επιθέσεων τύπου Trojan μέσω μιας ψεύτικης εφαρμογής DeepSeek-R1 Large Language Model (LLM) για υπολογιστές, ανακάλυψαν οι ερευνητές της Kaspersky GReAT.

Το προηγουμένως άγνωστο κακόβουλο λογισμικό διανέμεται μέσω ενός ιστότοπου phishing που προσποιείται ότι είναι η επίσημη αρχική σελίδα του DeepSeek, η οποία προωθείται μέσω διαφημίσεων της Google.

Σκοπός των επιθέσεων είναι η εγκατάσταση του κακόβουλου λογισμικού BrowserVenom, το οποίο αλλάζει τις ρυθμίσεις των web browsers της συσκευής του εκάστοτε θύματος, ώστε όλη η online δραστηριότητα να περνάει από δικούς τους servers, επιτρέποντάς τους να συλλέγουν στοιχεία σύνδεσης και άλλα ευαίσθητα δεδομένα των χρηστών.

• Πολλαπλές επιθέσεις έχουν εντοπιστεί στη Βραζιλία, την Κούβα, το Μεξικό, την Ινδία, το Νεπάλ, τη Νότια Αφρική και την Αίγυπτο.

Το DeepSeek-R1 είναι ένα από τα πιο δημοφιλή Μεγάλα Γλωσσικά Μοντέλα (LLMs) αυτήν τη στιγμή, και η Kaspersky έχει προηγουμένως αναφέρει επιθέσεις που χρησιμοποιούν κακόβουλο λογισμικό το οποίο το μιμείται για να προσελκύσει θύματα. Το DeepSeek μπορεί επίσης να εκτελείται offline σε υπολογιστές, χρησιμοποιώντας εργαλεία όπως το Ollama ή το LM Studio, και οι επιτιθέμενοι εκμεταλλεύτηκαν αυτή τη δυνατότητα.

Οι χρήστες ανακατευθύνονταν σε μια ιστοσελίδα phishing που μιμούνταν τη διεύθυνση της επίσημης πλατφόρμας DeepSeek μέσω διαφημίσεων της Google, με τον σύνδεσμο να εμφανίζεται όταν κάποιος αναζητούσε τον όρο “deepseek r1”.

Μετά την είσοδο του χρήστη στην ψεύτικη ιστοσελίδα του DeepSeek, εκτελούνταν έλεγχος του λειτουργικού συστήματος της συσκευής. Εφόσον εντοπιζόταν Windows, εμφανιζόταν επιλογή λήψης εργαλείων για την offline χρήση του LLM. Κατά την περίοδο της έρευνας, άλλα λειτουργικά συστήματα δεν αποτελούσαν στόχο.

Κακόβουλος ιστότοπος που μιμείται το DeepSeek

Αφού ο χρήστης έκανε κλικ και περνούσε τo τεστ CAPTCHA, ξεκινούσε η λήψη ενός κακόβουλου installer και του δινόταν η δυνατότητα να επιλέξει μεταξύ του Ollama ή του LM Studio. Εφόσον ο χρήστης επέλεγε μία από τις δύο διαθέσιμες επιλογές, τότε παράλληλα με τους γνήσιους installers του Ollama ή του LM Studio γινόταν εγκατάσταση και των κακόβουλων αρχείων.

Το κακόβουλο λογισμικό αξιοποιούσε ειδικό αλγόριθμο για να παρακάμψει την προστασία του Windows Defender. Η επιτυχής εγκατάσταση απαιτούσε δικαιώματα διαχειριστή (administrator) στον λογαριασμό χρήστη. Σε περίπτωση που αυτά τα δικαιώματα δεν υπήρχαν, η επίθεση δεν ολοκληρωνόταν.

Δύο επιλογές για την εγκατάσταση παραβιασμένων πλαισίων LLM

Αφού το κακόβουλο πρόγραμμα έχει εγκατασταθεί, αλλάζει τις ρυθμίσεις όλων των browsers και τους αναγκάζει να χρησιμοποιούν έναν proxy server που ελέγχεται από τους επιτιθέμενους. Αυτό επέτρεπε στους δράστες να παρακολουθούν την online δραστηριότητα και να αποκτούν πρόσβαση σε ευαίσθητα δεδομένα περιήγησης. Οι ερευνητές της Kaspersky ονόμασαν αυτή την απειλή “BrowserVenom”, καταδεικνύοντας τον επικίνδυνο χαρακτήρα της.

«Η χρήση Μεγάλων Γλωσσικών Μοντέλων (LLMs) offline μπορεί να  ενισχύει την ιδιωτικότητα και να μειώσει την ανάγκη για cloud υπηρεσίες, όμως ενέχει σοβαρούς κινδύνους αν δεν ληφθούν τα κατάλληλα μέτρα ασφαλείας. Οι κυβερνοεγκληματίες εκμεταλλεύονται την απήχηση των open-source AI εργαλείων, διανέμοντας ψεύτικους installers που εγκαθιστούν malware, όπως keyloggers, cryptominers ή infostealers εν αγνοία του χρήστη. Τέτοιου είδους εργαλεία μπορούν να θέσουν σε σοβαρό κίνδυνο τα προσωπικά δεδομένα των χρηστών, ιδιαίτερα όταν προέρχονται από αναξιόπιστες πηγές», σχολιάζει ο Lisandro Ubiedo, Ερευνητής Ασφαλείας στην ομάδα GReAT της Kaspersky.

Πηγή: ot.gr