Специалисты из «Лаборатории Касперского» обнаружили несколько кампаний по распространению вредоносных программ через сайты, которые делают вид, что они популярные нейросети, такие как DeepSeek и Grok. Эти вредоносные сайты рекламируются через социальную сеть X (ранее Twitter).
Атаки были направлены на пользователей из разных стран, включая Россию. На первой группе сайтов был обнаружен новый вид вредоносной программы, которая выдавалась за клиент DeepSeek (версий V3 и R1).
Поддельные сайты не имели чата, зато предлагали скачать программу для Windows. После установки этой программы вредоносное ПО могло красть данные из браузеров (cookie, сессии), логины и пароли от почты, игровых аккаунтов и других сервисов, а также информацию о криптокошельках. Позже злоумышленники начали использовать нейросеть Grok, но схема распространения осталась та же.
Вторая группа сайтов использовала географическое ограничение: для пользователей из России показывалась заглушка, а для пользователей из Европы – страница, похожая на сайт DeepSeek, с предложением скачать программу или запустить чат-бот.
При любых действиях на таких сайтах загружался вредоносный инсталлятор, который запускал PowerShell-скрипт, позволяющий злоумышленникам получить доступ к компьютеру жертвы.
Третья группа сайтов была нацелена на опытных пользователей. Здесь вредоносное ПО маскировалось под фреймворк Ollama, который должен был запускать большие языковые модели, подобные DeepSeek. Вместо этого устанавливался бэкдор, предоставляющий злоумышленникам удаленный доступ к устройству жертвы.
«В этих кампаниях интересны не только вредоносные программы, но и способы распространения поддельных сайтов. Например, одна из ссылок была опубликована в соцсети X от австралийской компании и набрала более миллиона просмотров, многие репосты были сделаны ботами. Для привлечения пользователей атакующие также использовали техники тайпсквоттинга, рекламные кампании через партнерские программы и рассылку ссылок в мессенджерах», — отметил Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения «Лаборатории Касперского».
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
