Популярность языковой модели DeepSeek-R1 привлекает не только пользователей, но и киберпреступников. Эксперты обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяют ранее неизвестное ПО через поддельный установщик DeepSeek-R1. Фишинговый сайт, имитирующий официальный ресурс DeepSeek, продвигался через Google Ads и появлялся в топе поисковой выдачи по запросу "deepseek r1".
Описание
При переходе на сайт жертва видит кнопку "Try now", после нажатия на которую открывается капча с обфусцированным JavaScript-кодом, проверяющим, что пользователь - не бот. После успешного прохождения проверки начинается загрузка вредоносного файла AI_Launcher_1.21.exe.
Анализ кода показал, что злоумышленники, стоящие за атакой, вероятно, говорят на русском языке. Установщик маскируется под легитимный софт, предлагая загрузить Ollama и LM Studio, но параллельно запускает вредоносный скрипт. Сначала он пытается отключить защиту Windows Defender, добавляя папку пользователя в исключения, а затем загружает и запускает исполняемый файл 1.exe из подконтрольного злоумышленникам домена.
Финальная стадия атаки - внедрение импланта BrowserVenom, который перенаправляет весь интернет-трафик жертвы через прокси-сервер злоумышленников (141.105.130[.]106:37121). Это позволяет перехватывать данные, включая логины и пароли, а также модифицировать User-Agent браузеров для идентификации жертв.
Эксперты рекомендуют скачивать ПО только с официальных сайтов и проверять домены перед загрузкой файлов. На данный момент фишинговые ресурсы, связанные с этой кампанией, продолжают блокироваться, но злоумышленники могут создавать новые.
Индикаторы компрометации
IPv4
- 141.105.130.106
IPv4 Port Combinations
- 141.105.130.106:37121
Domains
- app-updater.app
- app-updater1.app
- app-updater2.app
- deepseek-platform.com
- r1deepseek-ai.com
MD5
- d435a9a303a27c98d4e7afa157ab47de
- dc08e0a005d64cc9e5b2fdd201f97fd6
