07/03/25
Эксперты «Лаборатории Касперского» обнаружили сразу несколько активных кампаний по распространению зловредных программ для ПК через группы страниц, копирующих дизайн сайта DeepSeek, а также в отдельном случае мимикрирующих под нейросеть Grok. Речь идёт, в частности, о ранее неизвестном стилере, вредоносных PowerShell-скриптах и бэкдоре. Ссылки на поддельные ресурсы размещались в том числе в социальной сети X (бывший Twitter). С атаками могли столкнуться пользователи в разных странах, включая Россию.
Первая группа сайтов и новый стилер. Изначально в названии доменов использовались версии моделей DeepSeek V3 и R1. На поддельных ресурсах отсутствовала опция начать чат, была только возможность скачать архив с клиентом для Windows. Однако вместо заявленной программы на устройство проникал ранее неизвестный стилер. С его помощью злоумышленники могут получить доступ к данным пользователя на заражённом компьютере: файлам cookie и сессии из браузеров, логинам и паролям от почты, аккаунтам в играх и других сервисах, файлам с заданными расширениями, а также к информации от криптокошельков. Позднее злоумышленники заменили приманку с DeepSeek на Grok, сама схема и зловред при этом остались прежними.
Вторая группа сайтов и вредоносный скрипт. Другие ресурсы использовали геофенсинг: при запросах, например с российских IP-адресов, выдавали «заглушку», но, если это был европейский IP-адрес, сервер показывал страницу, оформленную под DeepSeek. На ней предлагалось скачать клиент нейросети или запустить чат-бот. При любом из этих действий скачивался вредоносный инсталлятор и в результате цепочки загрузок человек сталкивался с PowerShell-скриптом. Этот скрипт позволяет злоумышленникам подключиться к компьютеру жертвы.
Третья группа сайтов и бэкдор. Механика атак на отдельных ресурсах была нацелена на более продвинутых пользователей. Загружаемая вредоносная нагрузка маскировалась под Ollama — фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях. Вместо этих инструментов на устройства пользователей загружался бэкдор, который при запуске клиента DeepSeek открывал злоумышленникам доступ к компьютеру жертвы.
«В обнаруженных кампаниях интересны не только вредоносные программы, которые маскировались под клиенты для DeepSeek, но и вектор распространения поддельных сайтов. Например, ссылка на один из зловредных ресурсов была опубликована в социальной сети X. Это пост от аккаунта, якобы принадлежащего австралийской компании. Сообщение с вредоносной ссылкой набрало 1,2 миллиона просмотров и более сотни репостов. Однако значительную часть из них, судя по всему, сделали боты. Чтобы охватить как можно больше потенциальных жертв, атакующие также могут использовать технику тайпсквоттинга или закупать рекламные переходы на фальшивые страницы через партнёрские программы, рассылать ссылки в мессенджерах», — комментирует Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского».
