Эксперты «Лаборатории Касперского» обнаружили сразу несколько активных кампаний по распространению зловредных программ для ПК через группы страниц, копирующих дизайн сайта DeepSeek, а также в отдельном случае мимикрирующих под нейросеть Grok. Речь идёт, в частности, о ранее неизвестном стилере, вредоносных PowerShell-скриптах и бэкдоре. Ссылки на поддельные ресурсы размещались в том числе в социальной сети X (бывший Twitter). С атаками могли столкнуться пользователи в разных странах, включая Россию.
Первая группа сайтов и новый стилер. Изначально в названии доменов использовались версии моделей DeepSeek V3 и R1. На поддельных ресурсах отсутствовала опция начать чат, была только возможность скачать архив с клиентом для Windows. Однако вместо заявленной программы на устройство проникал ранее неизвестный стилер. С его помощью злоумышленники могут получить доступ к данным пользователя на заражённом компьютере: файлам cookie и сессии из браузеров, логинам и паролям от почты, аккаунтам в играх и других сервисах, файлам с заданными расширениями, а также к информации от криптокошельков. Позднее злоумышленники заменили приманку с DeepSeek на Grok, сама схема и зловред при этом остались прежними.
Вторая группа сайтов и вредоносный скрипт. Другие ресурсы использовали геофенсинг: при запросах, например с российских IP-адресов, выдавали «заглушку», но, если это был европейский IP-адрес, сервер показывал страницу, оформленную под DeepSeek. На ней предлагалось скачать клиент нейросети или запустить чат-бот. При любом из этих действий скачивался вредоносный инсталлятор и в результате цепочки загрузок человек сталкивался с PowerShell-скриптом. Этот скрипт позволяет злоумышленникам подключиться к компьютеру жертвы.
Третья группа сайтов и бэкдор. Механика атак на отдельных ресурсах была нацелена на более продвинутых пользователей. Загружаемая вредоносная нагрузка маскировалась под Ollama — фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях. Вместо этих инструментов на устройства пользователей загружался бэкдор, который при запуске клиента DeepSeek открывал злоумышленникам доступ к компьютеру жертвы.
«В обнаруженных кампаниях интересны не только вредоносные программы, которые маскировались под клиенты для DeepSeek, но и вектор распространения поддельных сайтов. Например, ссылка на один из зловредных ресурсов была опубликована в социальной сети X. Это пост от аккаунта, якобы принадлежащего австралийской компании. Сообщение с вредоносной ссылкой набрало 1,2 миллиона просмотров и более сотни репостов. Однако значительную часть из них, судя по всему, сделали боты. Чтобы охватить как можно больше потенциальных жертв, атакующие также могут использовать технику тайпсквоттинга* или закупать рекламные переходы на фальшивые страницы через партнёрские программы, рассылать ссылки в мессенджерах», — комментирует Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают пользователей от вредоносных программ, которые фигурируют в обнаруженных кампаниях.
Для защиты от киберугроз, мимикрирующих под популярные сервисы, эксперты рекомендуют:
* Тайпсквоттинг — вид кибератаки, в рамках которой злоумышленники создают сайты с доменными именами, похожими по написанию на названия адресов популярных ресурсов.
