DeepSeek-R1 - мощная открытая модель большого языка (LLM) - завоевала популярность в качестве сервиса чат-ботов и стала мишенью для киберпреступников. Обнаружено несколько поддельных сайтов, имитирующих официальный сайт DeepSeek, которые распространяют вредоносное ПО, замаскированное под клиент популярного сервиса.
Описание
Поддельные сайты имитировали официальный домен DeepSeek, предлагая ссылку на скачивание вредоносного zip-файла под названием «deep-seek-installation.zip». После выполнения файл активирует скрипт, инициирующий установку вредоносного ПО, в том числе скрипта на языке python, который похищает данные пользователя, такие как куки браузера, учетные данные электронной почты и информацию о криптовалютном кошельке.
Еще один набор поддельных сайтов DeepSeek был обнаружен на таких доменах, как deepseek-pc-ai[.]com и deepseek-ai-soft[.]com. Эти сайты используют геотаргетинг и предоставляют фальшивую страницу DeepSeek пользователям с определенных IP-адресов, в то время как другие перенаправляются на общую SEO-страницу. Когда пользователи пытаются скачать клиент или начать общение с чат-ботом на этих поддельных сайтах, вместо этого загружается и исполняется вредоносный установщик, который в конечном итоге приводит к удаленному доступу к компьютеру жертвы.
Основным вектором распространения вредоносных ссылок стали сообщения в социальной сети X (бывший Twitter). Анализ установленного вредоносного ПО выявил скрипты PowerShell, активирующие службы SSH и изменяющие их конфигурацию для получения удаленного доступа к компьютеру жертвы. Кроме того, вредоносная программа использует base64-кодированные сценарии PowerShell для загрузки дополнительных вредоносных скриптов с закодированных URL-адресов.
Загрузка вредоносного клиента DeepSeek может привести к потере личных данных, аккаунтов в социальных сетях и даже криптовалютных средств.
Indicators of Compromise
Domains
- app.deapseek.com
- app.delpaseek.com
- deep-seek.bar
- deep-seek.rest
- deepseek-ai-soft.com
- deepseek-pc-ai.com
- dpsk.dghjwd.cn
- r1-deepseek.net
- v3-deepseek.com
- v3-grok.com
MD5
- 155bdb53d0bf520e3ae9b47f35212f16
- 3e5c2097ffb0cb3a6901e731cdf7223b
- 4ef18b2748a8f499ed99e986b4087518
- 6d097e9ef389bbe62365a3ce3cbaf62d
- 7088986a8d8fa3ed3d3ddb1f5759ec5d
- 7cb0ca44516968735e40f4fac8c615ce
- e1ea1b600f218c265d09e7240b7ea819
