Siber suçlular, Windows kullanıcılarını hedefleyen sofistike yeni kötü amaçlı yazılım suşu dağıtmak için şu anda mevcut olan en çok aranan büyük dil modellerinden biri olan Deepseek-R1’in popülaritesindeki artıştan yararlanmaya başladı.
Kötü niyetli kampanya, yapay zeka chatbot’un artan talebini, şüphesiz kullanıcıları meşru Deepseek yazılımı gibi görünen şeyleri indirmeye kandırmak için bir cazibe olarak kullanıyor, bunun yerine tarama faaliyetlerinden ödün vermek için tasarlanmış tehlikeli bir yük sunuyor.
Saldırı, kullanıcılar “Deepseek R1” aradığında hileli web sitelerini Google arama sonuçlarının en üstüne yerleştiren dikkatli bir şekilde düzenlenmiş bir kötüverizasyon kampanyasıyla başlar.
.png
)
Birincil kimlik avı sitesi, Deepseek-Platform[.]Com, resmi Deepseek ana sayfası olarak maskelenir ve Windows kullanıcılarını enfeksiyon zincirini başlatan tekil bir “Şimdi Deneyin” düğmesini sunmadan önce tanımlamak için sofistike algılama mekanizmaları kullanır.
.webp)
Bu yaklaşım, tehdit aktörlerinin kullanıcı davranışını anlamalarını ve aldatıcı taktikler yoluyla trend teknolojisini para kazanma yeteneklerini göstermektedir.
Securelist analistler, bu kampanyayı, tarayıcı hedefleme kötü amaçlı yazılımlarında önemli bir evrimi temsil eden “Browservenom” olarak adlandırılan daha önce bilinmeyen bir kötü amaçlı yazılım varyantının dağıtılması olarak tanımladılar.
Araştırmacılar, Rusça konuşan tehdit aktörlerinin operasyonun arkasında olduğunu gösteren kanıtlar keşfettiler ve Rus dili yorumları kötü niyetli web sitesinin kaynak koduna gömülü.
Enfeksiyonların coğrafi dağılımı, Brezilya, Küba, Meksika, Hindistan, Nepal, Güney Afrika ve Mısır’da teyit edilen vakalarla birlikte, Deepseek’in uluslararası popülaritesinden yararlanan küresel bir erişimi gösteren onaylanmış vakalarla kapsamaktadır.
Kötü amaçlı yazılımların etkisi, Browservenom özellikle kalıcı ağ izleme özellikleri oluşturmak için kullanıcıların tarama altyapısını hedeflediğinden, geleneksel veri hırsızlığının ötesine uzanır.
Kurulduktan sonra, kötü amaçlı yazılım, tüm tarayıcı örneklerini, 141.105.130 numaralı telefondan bulunan saldırgan kontrollü bir proxy sunucusu aracılığıyla trafiği yönlendirmek için yeniden yapılandırır[.]106: 37121, siber suçluların tüm ağ iletişimlerini kesmesini, izlemesini ve manipüle etmesini sağlayan.
Enfeksiyon mekanizması ve teknik uygulama
Enfeksiyon süreci, çok aşamalı dağıtım ve sosyal mühendislik bileşenleri ile dikkate değer bir gelişmişlik göstermektedir.
.webp)
Kullanıcılar “Şimdi Deneyin” düğmesini tıkladıktan sonra, otomatik güvenlik analizinden kaçınırken insan etkileşimini doğrulamak için tasarlanmış gizlenmiş JavaScript tarafından desteklenen sahte bir Captcha ekranıyla karşılaşırlar.
Başarılı captcha tamamlandıktan sonra, kurbanlar, Ollama ve LM Studio gibi meşru AI çerçeveleri için kurulum seçenekleri sunmadan önce başka bir aldatıcı Cloudflare tarzı captcha sunan AI_Launcher_1.21.exe’yi indirir.
Kötü amaçlı yazılımların temel işlevselliği, MLInstaller.Runner.Run() Tespiti önlemek için meşru yazılım kurulumu ile eşzamanlı olarak çalışan işlev.
Bu işlev ilk olarak kullanıcının dizinini, yönetici ayrıcalıklarının başarılı olmasını gerektiren sabit kodlu bir PowerShell komutu kullanarak Windows Defender korumasından hariç tutmaya çalışır.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin