LATEST
Malware μεταμφιέζεται σε AI βοηθό και κλέβει ευαίσθητα δεδομένα
Οι ερευνητές της Kaspersky GReAT ανακάλυψαν ένα νέο κύμα επιθέσεων τύπου Trojan μέσω μιας ψεύτικης εφαρμογής DeepSeek-R1 Large Language Model (LLM) για υπολογιστές. Το προηγουμένως άγνωστο κακόβουλο λογισμικό διανέμεται μέσω ενός ιστότοπου phishing που προσποιείται ότι είναι η επίσημη αρχική σελίδα του DeepSeek, η οποία προωθείται μέσω διαφημίσεων της Google. Σκοπός των επιθέσεων είναι η εγκατάσταση του κακόβουλου λογισμικού BrowserVenom, το οποίο αλλάζει τις ρυθμίσεις των web browsers της συσκευής του εκάστοτε θύματος, ώστε όλη η online δραστηριότητα να περνάει από δικούς τους servers, επιτρέποντάς τους να συλλέγουν στοιχεία σύνδεσης και άλλα ευαίσθητα δεδομένα των χρηστών. Πολλαπλές επιθέσεις έχουν εντοπιστεί στη Βραζιλία, την Κούβα, το Μεξικό, την Ινδία, το Νεπάλ, τη Νότια Αφρική και την Αίγυπτο.
Το DeepSeek-R1 είναι ένα από τα πιο δημοφιλή Μεγάλα Γλωσσικά Μοντέλα (LLMs) αυτή τη στιγμή, και η Kaspersky έχει προηγουμένως αναφέρει επιθέσεις που χρησιμοποιούν κακόβουλο λογισμικό, το οποίο το μιμείται για να προσελκύσει θύματα. Το DeepSeek μπορεί, επίσης, να εκτελείται offline σε υπολογιστές, χρησιμοποιώντας εργαλεία, όπως το Ollama ή το LM Studio, και οι επιτιθέμενοι εκμεταλλεύτηκαν αυτή τη δυνατότητα.
Οι χρήστες ανακατευθύνονταν σε μια ιστοσελίδα phishing που μιμούνταν τη διεύθυνση της επίσημης πλατφόρμας DeepSeek μέσω διαφημίσεων της Google, με τον σύνδεσμο να εμφανίζεται όταν κάποιος αναζητούσε τον όρο «deepseek r1». Μετά την είσοδο του χρήστη στην ψεύτικη ιστοσελίδα του DeepSeek, εκτελούνταν έλεγχος του λειτουργικού συστήματος της συσκευής. Εφόσον εντοπιζόταν Windows, εμφανιζόταν επιλογή λήψης εργαλείων για την offline χρήση του LLM. Κατά την περίοδο της έρευνας, άλλα λειτουργικά συστήματα δεν αποτελούσαν στόχο.
Αφού ο χρήστης έκανε κλικ και περνούσε το τεστ CAPTCHA, ξεκινούσε η λήψη ενός κακόβουλου installer και του δινόταν η δυνατότητα να επιλέξει μεταξύ του Ollama ή του LM Studio. Εφόσον ο χρήστης επέλεγε μία από τις δύο διαθέσιμες επιλογές, τότε παράλληλα με τους γνήσιους installers του Ollama ή του LM Studio γινόταν εγκατάσταση και των κακόβουλων αρχείων. Το κακόβουλο λογισμικό αξιοποιούσε ειδικό αλγόριθμο για να παρακάμψει την προστασία του Windows Defender. Η επιτυχής εγκατάσταση απαιτούσε δικαιώματα διαχειριστή (administrator) στον λογαριασμό χρήστη. Σε περίπτωση που αυτά τα δικαιώματα δεν υπήρχαν, η επίθεση δεν ολοκληρωνόταν.
Αφού το κακόβουλο πρόγραμμα έχει εγκατασταθεί, αλλάζει τις ρυθμίσεις όλων των browsers και τους αναγκάζει να χρησιμοποιούν έναν proxy server που ελέγχεται από τους επιτιθέμενους. Αυτό επέτρεπε στους δράστες να παρακολουθούν την online δραστηριότητα και να αποκτούν πρόσβαση σε ευαίσθητα δεδομένα περιήγησης. Οι ερευνητές της Kaspersky ονόμασαν αυτή την απειλή «BrowserVenom», καταδεικνύοντας τον επικίνδυνο χαρακτήρα της.
Για την προστασία σας από τέτοιες απειλές, η Kaspersky συνιστά να ελέγχετε πάντα τη διεύθυνση των ιστοσελίδων για να βεβαιώνεστε ότι είναι αυθεντικές και να αποφεύγετε απάτες, να κατεβάζετε εργαλεία LLM για offline χρήση μόνο από επίσημες πηγές, να χρησιμοποιείτε αξιόπιστες λύσεις ασφαλείας που εμποδίζουν την εκτέλεση κακόβουλων αρχείων, να επαληθεύετε ότι τα αποτελέσματα από τις αναζητήσεις στο διαδίκτυο είναι όντως έγκυρα και αξιόπιστα και να αποφεύγετε τη χρήση προφίλ Windows με δικαιώματα διαχειριστή για καθημερινή χρήση.
