Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
https://www.secnews.gr/650922/hackers-ekmetalleuontai-dimotikotita-deepseek-r1/
Jun 13th 2025, 13:24
by Digital Fortress
Ερευνητές της Kaspersky φέρνουν στο φως μια νέα, ιδιαίτερα εξελιγμένη κακόβουλη εκστρατεία που εκμεταλλεύεται την αυξανόμενη δημοτικότητα των large language models (LLMs), στοχεύοντας κυρίως χρήστες που αναζητούν να κατεβάσουν το DeepSeek-R1.
Σύμφωνα με την έκθεση, κυβερνοεγκληματίες αξιοποιούν κακόβουλες διαφημίσεις (malvertising) μέσω Google Ads αλλά και phishing τεχνικές για να διανείμουν ένα νέο κακόβουλο λογισμικό με την ονομασία BrowserVenom. Το malware είναι σχεδιασμένο για να παραβιάζει το web traffic και να αποσπά ευαίσθητα δεδομένα από τα θύματα.
Δείτε επίσης: Microsoft: Οι υπάλληλοι δεν επιτρέπεται να χρησιμοποιούν το DeepSeek
Οι επιτιθέμενοι έχουν δημιουργήσει έναν παραπλανητικό ιστότοπο, deepseek-platform[.]com, ο οποίος μιμείται σχεδόν πιστά την επίσημη σελίδα του DeepSeek. Μέσω διαφημίσεων στην Google που εμφανίζονται στην κορυφή των αποτελεσμάτων για αναζητήσεις όπως "deepseek r1", οι χρήστες παρασύρονται στον ψεύτικο ιστότοπο.
Κατά την είσοδό τους, οι επισκέπτες κατευθύνονται σε ψεύτικες οθόνες, καθώς και σε ένα CAPTCHA. Τελικά, καλούνται να κατεβάσουν έναν υποτιθέμενο installer με την ονομασία "AI_Launcher_1.21.exe".
Ωστόσο, μαζί με την υποτιθέμενη εγκατάσταση του εργαλείου τεχνητής νοημοσύνης DeepSeek, ενεργοποιείται στο παρασκήνιο ένα malware dropper. Το κακόβουλο λογισμικό ξεκινά με μια εντολή PowerShell, κρυπτογραφημένη με AES, η οποία προσπαθεί να εξαιρέσει τον φάκελο του χρήστη από το πεδίο σάρωσης του Windows Defender – ένα κόλπο που αυξάνει τις πιθανότητες να περάσει απαρατήρητο το malware.
Δείτε επίσης: Η DeepSeek ενημερώνει το μαθηματικό AI μοντέλο Prover
Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
Το κακόβουλο λογισμικό BrowserVenom φορτώνεται απευθείας στη μνήμη
To installer, που χρησιμοποιούν οι επιτιθέμενοι, κατεβάζει πρόσθετα επιβλαβή payloads μέσω obfuscated scripts, με τελικό στόχο τη φόρτωση του BrowserVenom απευθείας στη μνήμη του συστήματος – μια τεχνική που παρακάμπτει παραδοσιακούς μηχανισμούς ανίχνευσης από antivirus.
Μόλις ενεργοποιηθεί, το BrowserVenom malware ανακατευθύνει όλo το browser traffic μέσω ενός proxy server που ελέγχεται από τους κυβερνοεγκληματίες. Η υποκλοπή της διαδικτυακής δραστηριότητας επιτυγχάνεται με την εγκατάσταση ενός ψεύτικου SSL πιστοποιητικού και τον επανακαθορισμό των ρυθμίσεων σε δημοφιλή προγράμματα περιήγησης όπως Chrome, Edge, Firefox (και άλλα που βασίζονται σε Chromium και Gecko). Για να διατηρηθεί ενεργό ακόμη και μετά από επανεκκινήσεις του συστήματος, το malware προχωρά σε τροποποίηση συντομεύσεων και ρυθμίσεων, εξασφαλίζοντας τη μακροχρόνια παραμονή του στο σύστημα-στόχο.
Δείτε επίσης: Νότια Κορέα: Το DeepSeek μετέφερε δεδομένα χρηστών χωρίς συγκατάθεση
Αξίζει να σημειωθεί πως οι αναλυτές εντόπισαν στοιχεία ρωσικής γλώσσας στον πηγαίο κώδικα των phishing ιστότοπων DeepSeek-R1 και των αρχείων εγκατάστασης, στοιχείο που ενισχύει την πιθανότητα ρωσόφωνης προέλευσης της εκστρατείας.
Το εύρος της εκστρατείας είναι παγκόσμιο, με επιβεβαιωμένα περιστατικά μολύνσεων σε χώρες όπως Βραζιλία, Κούβα, Μεξικό, Ινδία, Νεπάλ, Νότια Αφρική και Αίγυπτος. Η κύρια υποδομή proxy, μέσω της οποίας εκτρέπεται το traffic, εντοπίζεται στη διεύθυνση 141.105.130[.]106, στη θύρα 37121, σύμφωνα με τα ευρήματα της Kaspersky.
Η Τεχνητή Νοημοσύνη στο στόχαστρο
Το πρόσφατο περιστατικό με το κακόβουλο λογισμικό BrowserVenom έρχεται να επιβεβαιώσει μια ολοένα και πιο ανησυχητική τάση: οι κυβερνοεγκληματίες στρέφονται με αυξανόμενο ενδιαφέρον προς τον χώρο της Τεχνητής Νοημοσύνης. Καθώς τα large language models (LLMs) και τα εργαλεία AI γνωρίζουν ραγδαία εξάπλωση, μετατρέπονται σε ιδανικό δόλωμα για σύνθετες, διεθνείς κακόβουλες εκστρατείες.
Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
Τρόποι προστασίας από malware που στοχεύει AI εργαλεία
• Κατεβάζετε εργαλεία μόνο από επίσημες πηγές (π.χ. GitHub του project ή επίσημο site του δημιουργού).
• Αποφύγετε διαφημίσεις και χορηγούμενα links σε μηχανές αναζήτησης για λήψεις λογισμικού.
• Ελέγχετε προσεκτικά το URL και βεβαιωθείτε ότι χρησιμοποιείται HTTPS με έγκυρο SSL πιστοποιητικό.
• Χρησιμοποιείτε λογισμικό antivirus με λειτουργία real-time protection και ενημερωμένες υπογραφές κακόβουλου λογισμικού.
• Ενεργοποιήστε το Microsoft Defender (ή άλλο AV) και αποφύγετε τον αποκλεισμό φακέλων μέσω άγνωστων scripts.
• Αποφεύγετε την εγκατάσταση άγνωστων .exe αρχείων χωρίς ψηφιακή υπογραφή.
• Περιορίστε ή απενεργοποιήστε extensions που αλλάζουν ρυθμίσεις browser ή proxy configs.
• Ελέγχετε τακτικά τις ρυθμίσεις των browser σας για ύποπτες αλλαγές (proxy, πιστοποιητικά, homepage).
• Προτιμήστε εικονικά περιβάλλοντα ή sandbox για δοκιμές λογισμικού AI, ειδικά αν είναι νεοεμφανιζόμενο.
• Ενημερωθείτε από έγκυρες πηγές ασφαλείας (π.χ. Kaspersky, ESET, CERT) για γνωστές καμπάνιες phishing & malvertising.
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
https://www.secnews.gr/650922/hackers-ekmetalleuontai-dimotikotita-deepseek-r1/
Jun 13th 2025, 13:24
by Digital Fortress
Ερευνητές της Kaspersky φέρνουν στο φως μια νέα, ιδιαίτερα εξελιγμένη κακόβουλη εκστρατεία που εκμεταλλεύεται την αυξανόμενη δημοτικότητα των large language models (LLMs), στοχεύοντας κυρίως χρήστες που αναζητούν να κατεβάσουν το DeepSeek-R1.
Σύμφωνα με την έκθεση, κυβερνοεγκληματίες αξιοποιούν κακόβουλες διαφημίσεις (malvertising) μέσω Google Ads αλλά και phishing τεχνικές για να διανείμουν ένα νέο κακόβουλο λογισμικό με την ονομασία BrowserVenom. Το malware είναι σχεδιασμένο για να παραβιάζει το web traffic και να αποσπά ευαίσθητα δεδομένα από τα θύματα.
Δείτε επίσης: Microsoft: Οι υπάλληλοι δεν επιτρέπεται να χρησιμοποιούν το DeepSeek
Οι επιτιθέμενοι έχουν δημιουργήσει έναν παραπλανητικό ιστότοπο, deepseek-platform[.]com, ο οποίος μιμείται σχεδόν πιστά την επίσημη σελίδα του DeepSeek. Μέσω διαφημίσεων στην Google που εμφανίζονται στην κορυφή των αποτελεσμάτων για αναζητήσεις όπως "deepseek r1", οι χρήστες παρασύρονται στον ψεύτικο ιστότοπο.
Κατά την είσοδό τους, οι επισκέπτες κατευθύνονται σε ψεύτικες οθόνες, καθώς και σε ένα CAPTCHA. Τελικά, καλούνται να κατεβάσουν έναν υποτιθέμενο installer με την ονομασία "AI_Launcher_1.21.exe".
Ωστόσο, μαζί με την υποτιθέμενη εγκατάσταση του εργαλείου τεχνητής νοημοσύνης DeepSeek, ενεργοποιείται στο παρασκήνιο ένα malware dropper. Το κακόβουλο λογισμικό ξεκινά με μια εντολή PowerShell, κρυπτογραφημένη με AES, η οποία προσπαθεί να εξαιρέσει τον φάκελο του χρήστη από το πεδίο σάρωσης του Windows Defender – ένα κόλπο που αυξάνει τις πιθανότητες να περάσει απαρατήρητο το malware.
Δείτε επίσης: Η DeepSeek ενημερώνει το μαθηματικό AI μοντέλο Prover
Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
Το κακόβουλο λογισμικό BrowserVenom φορτώνεται απευθείας στη μνήμη
To installer, που χρησιμοποιούν οι επιτιθέμενοι, κατεβάζει πρόσθετα επιβλαβή payloads μέσω obfuscated scripts, με τελικό στόχο τη φόρτωση του BrowserVenom απευθείας στη μνήμη του συστήματος – μια τεχνική που παρακάμπτει παραδοσιακούς μηχανισμούς ανίχνευσης από antivirus.
Μόλις ενεργοποιηθεί, το BrowserVenom malware ανακατευθύνει όλo το browser traffic μέσω ενός proxy server που ελέγχεται από τους κυβερνοεγκληματίες. Η υποκλοπή της διαδικτυακής δραστηριότητας επιτυγχάνεται με την εγκατάσταση ενός ψεύτικου SSL πιστοποιητικού και τον επανακαθορισμό των ρυθμίσεων σε δημοφιλή προγράμματα περιήγησης όπως Chrome, Edge, Firefox (και άλλα που βασίζονται σε Chromium και Gecko). Για να διατηρηθεί ενεργό ακόμη και μετά από επανεκκινήσεις του συστήματος, το malware προχωρά σε τροποποίηση συντομεύσεων και ρυθμίσεων, εξασφαλίζοντας τη μακροχρόνια παραμονή του στο σύστημα-στόχο.
Δείτε επίσης: Νότια Κορέα: Το DeepSeek μετέφερε δεδομένα χρηστών χωρίς συγκατάθεση
Αξίζει να σημειωθεί πως οι αναλυτές εντόπισαν στοιχεία ρωσικής γλώσσας στον πηγαίο κώδικα των phishing ιστότοπων DeepSeek-R1 και των αρχείων εγκατάστασης, στοιχείο που ενισχύει την πιθανότητα ρωσόφωνης προέλευσης της εκστρατείας.
Το εύρος της εκστρατείας είναι παγκόσμιο, με επιβεβαιωμένα περιστατικά μολύνσεων σε χώρες όπως Βραζιλία, Κούβα, Μεξικό, Ινδία, Νεπάλ, Νότια Αφρική και Αίγυπτος. Η κύρια υποδομή proxy, μέσω της οποίας εκτρέπεται το traffic, εντοπίζεται στη διεύθυνση 141.105.130[.]106, στη θύρα 37121, σύμφωνα με τα ευρήματα της Kaspersky.
Η Τεχνητή Νοημοσύνη στο στόχαστρο
Το πρόσφατο περιστατικό με το κακόβουλο λογισμικό BrowserVenom έρχεται να επιβεβαιώσει μια ολοένα και πιο ανησυχητική τάση: οι κυβερνοεγκληματίες στρέφονται με αυξανόμενο ενδιαφέρον προς τον χώρο της Τεχνητής Νοημοσύνης. Καθώς τα large language models (LLMs) και τα εργαλεία AI γνωρίζουν ραγδαία εξάπλωση, μετατρέπονται σε ιδανικό δόλωμα για σύνθετες, διεθνείς κακόβουλες εκστρατείες.
Hackers εκμεταλλεύονται τη δημοτικότητα του DeepSeek-R1
Τρόποι προστασίας από malware που στοχεύει AI εργαλεία
• Κατεβάζετε εργαλεία μόνο από επίσημες πηγές (π.χ. GitHub του project ή επίσημο site του δημιουργού).
• Αποφύγετε διαφημίσεις και χορηγούμενα links σε μηχανές αναζήτησης για λήψεις λογισμικού.
• Ελέγχετε προσεκτικά το URL και βεβαιωθείτε ότι χρησιμοποιείται HTTPS με έγκυρο SSL πιστοποιητικό.
• Χρησιμοποιείτε λογισμικό antivirus με λειτουργία real-time protection και ενημερωμένες υπογραφές κακόβουλου λογισμικού.
• Ενεργοποιήστε το Microsoft Defender (ή άλλο AV) και αποφύγετε τον αποκλεισμό φακέλων μέσω άγνωστων scripts.
• Αποφεύγετε την εγκατάσταση άγνωστων .exe αρχείων χωρίς ψηφιακή υπογραφή.
• Περιορίστε ή απενεργοποιήστε extensions που αλλάζουν ρυθμίσεις browser ή proxy configs.
• Ελέγχετε τακτικά τις ρυθμίσεις των browser σας για ύποπτες αλλαγές (proxy, πιστοποιητικά, homepage).
• Προτιμήστε εικονικά περιβάλλοντα ή sandbox για δοκιμές λογισμικού AI, ειδικά αν είναι νεοεμφανιζόμενο.
• Ενημερωθείτε από έγκυρες πηγές ασφαλείας (π.χ. Kaspersky, ESET, CERT) για γνωστές καμπάνιες phishing & malvertising.
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz