Image by Solen Feyissa, from Unsplash
Google Ads используются для распространения поддельного вредоносного ПО DeepSeek
Время для прочтения: 2 мин.
Последние обновления: Jun 13, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Исследователи в области кибербезопасности обнаружили опасную новую кампанию по распространению вредоносного ПО, которая направлена на пользователей популярного AI-чатбота DeepSeek-R1.
Спешите? Вот краткие факты:
- Фальшивые сайты DeepSeek-R1 распространяют вредоносное ПО через Google Ads.
- Жертвы загружают вредоносный установщик, маскирующийся под чат-бота.
- Вредоносное ПО устанавливает «BrowserVenom», который захватывает и мониторит веб-трафик
Исследователи в области кибербезопасности из Kaspersky сообщают, что злоумышленники используют Google Ads для продвижения поддельной версии сайта, используя популярность модели для обмана пользователей и заставляя их скачивать вредоносное программное обеспечение.
Злонамеренное объявление перенаправляет пользователей на «deepseek-platform[.]com» — фальшивый сайт, который имитирует официальный сайт DeepSeek. Пользователи, которые нажимают кнопку «Попробовать сейчас», сталкиваются с фальшивой CAPTCHA, прежде чем им предлагается скачать то, что кажется установщиком DeepSeek. Файл с названием «AI_Launcher_1.21.exe» на самом деле представляет собой сложную цепочку вредоносного ПО.
Установщик открывает вторую фальшивую CAPTCHA, затем предлагает установить известные инструменты ИИ, такие как Ollama и LM Studio. Но в фоновом режиме он запускает скрытый код, который начинает заражение. Сначала он пытается обойти антивирусное ПО, исключая папку пользователя из Windows Defender. Затем он пытается скачать еще больше вредоносного ПО с другого ненадежного домена.
Финальная нагрузка, известная как BrowserVenom, изменяет конфигурации браузера, чтобы перенаправить весь веб-трафик через прокси-серверы, управляемые злоумышленниками. Это позволяет им отслеживать данные пользователя и его онлайн-активность. Вредоносное ПО добавляет поддельный сертификат в систему, в то время как меняет ярлыки и настройки браузера в Firefox и Tor.
Исследователи отмечают, что атака уже нацелилась на пользователей в Бразилии, Кубе, Мексике, Индии, Непале, Южной Африке и Египте.
«Как мы уже сообщали, DeepSeek стал идеальной приманкой для злоумышленников, чтобы привлечь новых жертв,» — сказали исследователи. Они предупреждают пользователей дважды проверять URL-адреса сайтов и сертификаты перед загрузкой программного обеспечения, даже из результатов поиска, чтобы избежать попадания в эти ловушки.
Предыдущая история
Последние статьи 
