TM_753

8 19|6|2025 #753 Οι ερευνητές τη ς Kaspersky GReAT ανακάλυψαν ένα νέο κύμα επιθέσεων τύπουTrojan μέσωμιας ψεύτικης εφαρ- μογής DeepSeek-R1 Large Language Model (LLM) για υπολογιστές. Το προ- ηγουμένως άγνωστο κακόβουλο λογι- σμικό διανέμεται μέσω ενός ιστότοπου phishing που προσποιείται ότι είναι η επίσημη αρχική σελίδα του DeepSeek, η οποία προωθείται μέσω διαφημίσε- ων της Google. Σκοπός των επιθέσεων είναι η εγκατάσταση του κακόβουλου λογισμικού BrowserVenom, το οποίο αλλάζει τις ρυθμίσεις τωνwebbrowsers της συσκευής του εκάστοτε θύματος, ώστε όλη η online δραστηριότητα να περνάει από δικούς τους servers, επι- τρέποντάς τους να συλλέγουν στοιχεία σύνδεσης και άλλα ευαίσθητα δεδομέ- να των χρηστών. Πολλαπλές επιθέσεις έχουν εντοπιστεί στη Βραζιλία, την Κούβα, το Μεξικό, την Ινδία, το Νεπάλ, τη Νότια Αφρική και την Αίγυπτο. Το DeepSeek-R1 είναι ένα από τα πιο δημοφιλή Μεγάλα Γλωσσικά Μοντέλα (LLMs) αυτή τη στιγμή, και η Kaspersky έχει προηγουμένως αναφέρει επιθέσεις που χρησιμοποιούν κακόβουλο λογι- σμικό, το οποίο το μιμείται για να προ- σελκύσει θύματα. Το DeepSeek μπορεί, επίσης, να εκτελείται offline σε υπο- λογιστές, χρησιμοποιώντας εργαλεία, όπως το Ollama ή το LM Studio, και οι επιτιθέμενοι εκμεταλλεύτηκαν αυτή τη δυνατότητα. Οι χρήστες ανακατευθύνονταν σε μια ιστοσελίδα phishing που μιμούνταν τη διεύθυνση της επίσημης πλατφόρ- μας DeepSeek μέσω διαφημίσεων της Google, με τον σύνδεσμο να εμφανί- ζεται όταν κάποιος αναζητούσε τον όρο «deepseek r1». Μετά την είσοδο του χρήστη στην ψεύτικη ιστοσελίδα του DeepSeek, εκτελούνταν έλεγχος του λειτουργικού συστήματος της συ- σκευής. Εφόσον εντοπιζόταν Windows, εμφανιζόταν επιλογή λήψης εργαλείων για την offline χρήση του LLM. Κατά την περίοδο της έρευνας, άλλα λειτουργικά συστήματα δεν αποτελούσαν στόχο. Αφού ο χρήστης έκανε κλικ και περ- νούσε το τεστ CAPTCHA, ξεκινούσε η λήψη ενός κακόβουλου installer και του δινόταν η δυνατότητα να επιλέξει μεταξύ του Ollama ή του LM Studio. Εφόσον ο χρήστης επέλεγε μία από τις δύο διαθέσιμες επιλογές, τότε παράλ- ληλα με τους γνήσιους installers του Ollama ή του LM Studio γινόταν εγκα- τάσταση και των κακόβουλων αρχείων. Το κακόβουλο λογισμικό αξιοποιούσε ειδικό αλγόριθμο για να παρακάμψει την προστασία τουWindows Defender. Η επιτυχής εγκατάσταση απαιτούσε δικαιώματα διαχειριστή (administrator) στον λογαριασμό χρήστη. Σε περίπτω- ση που αυτά τα δικαιώματα δεν υπήρ- χαν, η επίθεση δεν ολοκληρωνόταν. Αφού το κακόβουλο πρόγραμμα έχει εγκατασταθεί, αλλάζει τις ρυθ- μίσεις όλων των browsers και τους αναγκάζει να χρησιμοποιούν έναν proxy server που ελέγχεται από τους επιτιθέμενους. Αυτό επέτρεπε στους δράστες να παρακολουθούν την online δραστηριότητα και να απο- κτούν πρόσβαση σε ευαίσθητα δεδο- μένα περιήγησης. Οι ερευνητές της Kaspersky ονόμασαν αυτή την απειλή «BrowserVenom», καταδεικνύοντας τον επικίνδυνο χαρακτήρα της. Για την προστασίασας από τέτοιες απει- λές, η Kaspersky συνιστά να ελέγχετε πάντα τη διεύθυνση των ιστοσελίδων για να βεβαιώνεστε ότι είναι αυθεντι- κές και να αποφεύγετε απάτες, να κατε- βάζετε εργαλεία LLM για offline χρήση μόνο από επίσημες πηγές, να χρησιμο- ποιείτε αξιόπιστες λύσεις ασφαλείας που εμποδίζουν την εκτέλεση κακό- βουλων αρχείων, να επαληθεύετε ότι τα αποτελέσματα από τις αναζητήσεις στο διαδίκτυο είναι όντως έγκυρα και αξιόπιστα και να αποφεύγετε τη χρήση προφίλWindows με δικαιώματα διαχει- ριστή για καθημερινή χρήση. Malware μεταμφιέζεται σε AI βοηθό και κλέβει ευαίσθητα δεδομένα