Il malware che ruba i dati fingendosi un assistente AI
Una volta che l’utente accedeva al sito e superava il test CAPTCHA, veniva scaricato nel suo PC un file di installazione dannoso per scaricare e installare Ollama o LM Studio.
È in grado di imitare l’home ufficiale di DeepSeek il nuovissimo malware che viene pubblicizzato con Google Ads e che è stato scoperto da Kaspersky.
Gli esperti di Kaspersky GReAT hanno scoperto un nuovo malware che distribuisce un trojan tramite una falsa applicazione chiamata DeepSeek-R1 Large Language Model (LLM) per PC.
Il malware, finora sconosciuto, si diffonde attraverso un sito di phishing che replica la homepage ufficiale di DeepSeek. L’obiettivo dei cybercriminali è installare BrowserVenom. Un malware che modifica la configurazione dei browser web sul dispositivo della vittima per incanalare il traffico internet attraverso i propri server. In questo modo, i criminali informatici possono ottenere dati sensibili, tra cui password di accesso e altre informazioni personali delle vittime. Sono state rilevate diverse infezioni in Brasile, Cuba, Messico, India, Nepal, Sudafrica ed Egitto.
DeepSeek
DeepSeek-R1 è uno degli LLM più popolari al momento, e Kaspersky ha recentemente segnalato attacchi malware che lo imitano per attirare le vittime. DeepSeek può essere eseguito anche offline sui PC utilizzando strumenti come Ollama o LM Studio. Ed è proprio questa caratteristica che è stata sfruttata dagli aggressori nella nuova campagna. Gli utenti venivano infatti indirizzati ad un sito di phishing che imitava l’indirizzo della piattaforma DeepSeek originale tramite Google Ads, con il link visualizzato nell’annuncio quando un utente cercava “deepseek r1”. Quando la vittima accedeva al sito falso, veniva eseguito un controllo per identificare il sistema operativo. Se si trattava di Windows, l’utente visualizzava un pulsante per scaricare gli strumenti per lavorare con l’LLM offline. Al momento della ricerca, non sono stati presi di mira altri sistemi operativi.
Cosa accade
Una volta che l’utente accedeva al sito e superava il test CAPTCHA, veniva scaricato nel suo PC un file di installazione dannoso per scaricare e installare Ollama o LM Studio. Se veniva scelta una delle due opzioni, oltre ai programmi di installazione legittimi di Ollama o LM Studio veniva installato anche il malware nel sistema aggirando la protezione di Windows Defender con un algoritmo speciale. Questa procedura richiedeva inoltre che il profilo utente Windows disponesse di privilegi di amministratore. In caso contrario, l’infezione non aveva successo.
Dopo l’installazione, il malware riusciva a configurare tutti i browser web del sistema per utilizzare forzatamente un proxy controllato direttamente dai cybercriminali, consentendo loro di ottenere dati di navigazione sensibili e monitorare l’attività online della vittima. Per la sua natura coercitiva e l’intento malevolo, gli esperti di Kaspersky hanno soprannominato questo malware BrowserVenom.
Per evitare questo tipo di minacce, Kaspersky consiglia di:
Controllare attentamente gli indirizzi dei siti web per verificarne l’autenticità ed evitare truffe.
Scaricare gli strumenti LLM offline solo da fonti ufficiali (ad esempio, ollama.com, lmstudio.ai).
Utilizzare soluzioni di sicurezza affidabili per bloccare l’esecuzione di file dannosi.
Verificare che i risultati delle ricerche su Internet siano effettivamente legittimi.
Evitare di utilizzare Windows con un profilo dotato di privilegi di amministratore.
