Эксперты «Лаборатории Касперского» обнаружили сразу несколько активных кампаний по распространению зловредных программ для ПК через группы страниц, копирующих дизайн сайта DeepSeek, а также в отдельном случае мимикрирующих под нейросеть Grok. Речь идёт, в частности, о ранее неизвестном стилере, вредоносных PowerShell-скриптах и бэкдоре. Ссылки на поддельные ресурсы размещались в том числе в социальной сети X (бывший Twitter). С атаками могли столкнуться пользователи в разных странах, включая Россию. Эксперты разделили вредоносное программное обеспечение на несколько категорий. Первая группа сайтов и новый стилер. Изначально в названии доменов использовались версии моделей DeepSeek V3 и R1. На поддельных ресурсах отсутствовала опция начать чат, была только возможность скачать архив с клиентом для Windows. Однако вместо заявленной программы на устройство проникал ранее неизвестный стилер. С его помощью злоумышленники могут получить доступ к данным пользователя на заражённом компьютере: файлам cookie и сессии из браузеров, логинам и паролям от почты, аккаунтам в играх и других сервисах, файлам с заданными расширениями, а также к информации от криптокошельков. Позднее злоумышленники заменили приманку с DeepSeek на Grok, сама схема и зловред при этом остались прежними.
Вторая группа сайтов и вредоносный скрипт. Другие ресурсы использовали геофенсинг: при запросах, например с российских IP-адресов, выдавали «заглушку», но, если это был европейский IP-адрес, сервер показывал страницу, оформленную под DeepSeek. На ней предлагалось скачать клиент нейросети или запустить чат-бот. При любом из этих действий скачивался вредоносный инсталлятор и в результате цепочки загрузок человек сталкивался с PowerShell-скриптом. Этот скрипт позволяет злоумышленникам подключиться к компьютеру жертвы. Третья группа сайтов и бэкдор. Механика атак на отдельных ресурсах была нацелена на более продвинутых пользователей. Загружаемая вредоносная нагрузка маскировалась под Ollama — фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях. Вместо этих инструментов на устройства пользователей загружался бэкдор, который при запуске клиента DeepSeek открывал злоумышленникам доступ к компьютеру жертвы.
Источник: mobile-review.com
