Эксперты компании eSentire обнаружили в интернете несколько поддельных сайтов, которые представляются как приложение ИИ под названием DeepSeek, но на самом деле распространяют стилер Poseidon. Людей привлекают на эти сайты через рекламу и редиректы.
Фальшивые сайты очень похожи на настоящий сайт DeepSeek. Когда пользователь нажимает на кнопку Начать, происходит переадресация на страницу загрузки. Если выбрать версию для macOS, то скачивается вредоносный файл DMG с другого сайта.
После открытия скачанного файла пользователю предлагается установить приложение через командную строку. На самом деле, вместо обещанного приложения в файле содержится скрипт, который загружает вредоносный троян. Это позволяет злоумышленникам обойти защиту GateKeeper в macOS.
Другие поддельные сайты DeepSeek используют всплывающие окна в стиле ClickFix для распространения Poseidon Stealer. Этот троян умеет красть данные из браузеров (Chrome и Firefox), папки Telegram и пользовательские файлы на компьютере.
Чтобы украсть пароль от macOS, стилер отображает диалоговое окно. Если пароль введен неверно, он запрашивается снова. Poseidon также умеет избегать обнаружения при запуске в отладчике или песочнице и использует шифрование.
Это не первый случай, когда злоумышленники используют популярное приложение DeepSeek для распространения вредоносных программ. Также были случаи фишинга под видом нового ИИ-инструмента.
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
