Yeni, son derece sofistike bir siber saldırı kampanyası, popüler dil modeli Deepseek-R1’i indirmek isteyen ve büyük dil modellerine (LLMS) küresel ilgiden yararlanan kullanıcıları hedefliyor.
Kaspersky araştırmacıları, tehdit aktörlerinin, kurbanların web trafiğini ele geçirebilecek ve hassas bilgileri çalabilen daha önce bilinmeyen kötü amaçlı yazılımları dağıtmak için kötüverizasyon ve kimlik avı taktiklerini kullandıklarını ortaya çıkardılar.
Güvenlik uzmanları yakın zamanda kötü niyetli aktörlerin sahte bir web sitesi olan Deepseek-Platform’u tanıtmak için Google reklamlarından yararlandığını belirledi[.]Com, meşru Deepseek ana sayfasını yakından taklit ediyor.
.png
)
Şüphesiz kullanıcılar “Deepseek R1” i aradıklarında, hileli site arama sonuçlarında belirgin bir şekilde ortaya çıktı. Ziyaret ettikten sonra, kullanıcılara sahte bir Captcha kontrolü de dahil olmak üzere bir dizi ikna edici tasarlanmış ekrandan, “AI_Launcher_1.21.exe” etiketli bir yükleyiciyi indirmek için istendi.
Tehdit Oyuncuları Deepseek-R1 popülaritesini sömürüyor
Yürütme üzerine, yükleyici yalnızca iyi bilinen LLM arabirimlerini taklit eden bir kurulum penceresi başlattı, aynı zamanda gizli bir kötü amaçlı yazılım yükleme işlemini de başlattı.
Bu işlem, kullanıcının klasörünü AES ile şifreli bir PowerShell komutu aracılığıyla Windows Defender’ın tarama aralığından hariç tutmaya çalışarak, saldırganın kaçınma tespiti şansını artırarak başlar.
Yükleyici daha sonra akıllıca gizlenmiş komut dosyalarını kullanarak ikincil yükleri indirir. Son aşama, Browservenom implantını doğrudan belleğe yükleyerek geleneksel algılama mekanizmalarından kaçınır.
Browservenom’un birincil işlevi, tüm tarayıcı trafiğini tehdit aktörleri tarafından kontrol edilen bir proxy sunucusu aracılığıyla zorlamaktır. Bu, bir haydut sertifikası (HTTPS bağlantılarını kesme) ve tarayıcı ayarlarını Chrome, Edge, Firefox ve diğer krom ve Gecko bazlı tarayıcılar arasında programlı olarak değiştirerek gerçekleştirilir.
Ayrıca, kötü amaçlı yazılım tarayıcı kısayollarını ve tercihlerini günceller ve sistem yeniden başladıktan sonra bile kalıcılığı sağlar.
Araştırmacılar, hem kimlik avı hem de dağıtım web sitelerinin kaynak kodunda bulunan Rus dil kodlarının izlerinin Rusça konuşan gelişimini şiddetle gösterdiğini belirtti.
Soruşturmalar, Brezilya, Küba, Meksika, Hindistan, Nepal, Güney Afrika ve Mısır gibi çeşitli bölgelerde kampanyanın küresel erişimini gösteren enfeksiyonlar ortaya çıktı.
Şu anda, ana proxy altyapısı IP Adresi 141.105.130’da bulunmaktadır.[.]106, kötü amaçlı yazılımın ağ trafiğini kaçırma için yeni bir proxy olarak yapılandırdığı 37121 numaralı bağlantı noktasında raporu okur.
Uzmanlar, kullanıcıları reklamlar veya tanıdık olmayan bağlantılar aracılığıyla tanıtılan yazılımı indirirken dikkatli olmaya çağırır.
Herhangi bir yazılımı, özellikle LLM chatbots gibi son derece popüler araçları indirmeye devam etmeden önce web sitelerinin, URL’lerinin ve SSL sertifikalarının özgünlüğünü daima doğrulayın.
Bu olay, AI patlamasından yararlanan siber suçluların artan eğilimini vurgulamaktadır. AI ve LLM araçları popülerlik kazandıkça, karmaşık ve küresel siber saldırılar için yem olarak çekiciliği, uyanıklığı tüm kullanıcılar için her zamankinden daha önemli hale getirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin