SecAtor

Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.

Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.

Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.

На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.

При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.

Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.

Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.

Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.

В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.

Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.

Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.

После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.

Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.

Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.

Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.

Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.

Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.

Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.

Технические подробности и IoC - отчете.

securelist.ru

Стилеры и бэкдоры распространяются под видом клиента для DeepSeek

Эксперты «Лаборатории Касперского» обнаружили кампании по распространению стилеров, вредоносных PowerShell-скриптов и бэкдоров через веб-страницы, копирующие дизайн сайтов DeepSeek и Grok.

www.tgoop.com/true_secator/6813

9.1K viewsMar 6 at 17:30

Исследователи из Лаборатории Касперского расчехлили массовую кампанию, нацеленную на пользователей DeepSeek с использованием различных сайтов, мимикрирующих под официальный ресурс чат-бота.

Исследуя внутренние данные об угрозах, в ЛК обнаружили несколько различных групп сайтов, копирующих официальный сайт DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса.

Первая группа сайтов находилась на доменах, в названиях которых использовались версии моделей DeepSeek (V3 и R1): r1-deepseek[.]net и v3-deepseek[.]com.

На поддельном сайте опция начать чат отсутствует - есть только вариант скачать приложение. При этом у настоящего DeepSeek нет официального клиента для Windows.

При нажатии кнопки Get DeepSeek App на устройство пользователя скачивается небольшой архив deep-seek-installation.zip с файлом DeepSeek Installation.lnk, содержащим URL-адрес. Цепочка в конечном итоге приводит к заражению стилером.

Это написанный на Python скрипт-стилер, ранее не встречавшийся в атаках.

Посредством него злоумышленники получают множество данных с компьютера пользователя: cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, информацию о криптокошельках и др.

Собрав всю необходимую информацию, скрипт формирует архив и затем отправляет его операторам стилера через Telegram-бот либо загружает полученный архив на файлообменник Gofile.

В другом случае были обнаружены мимикрирующие под страницу DeepSeek сайты на следующих доменах: deepseek-pc-ai[.]com и deepseek-ai-soft[.]com.

Что примечательно, поддельный сайт использует геофенсинг и при запросах с определенных IP-адресов выдает только заглушу.

Пользователю предлагается скачать клиент или запустить чат-бота, однако при любом из этих действий с поддельной страницы скачивается вредоносный инсталлятор, созданный при помощи Inno Setup.

После запуска инсталлятор обращается к вредоносным URL-адресам для получения команд, одна из которых запускает powershell.exe со скриптом, закодированным по алгоритму Base64, в качестве аргумента.

Он, в свою очередь, загружает по закодированному URL-адресу другой PowerShell-скрипт, который приводит встроенную службу SSH в активное состояние, а также изменяет ее конфигурацию, используя ключи злоумышленника, что дает возможность подключиться к компьютеру жертвы.

Эта группа интересна тем, что исследователям удалось найти основной вектор распространения ссылки на опасный домен — посты в X.

Некоторые были исполнены от якобы австралийской компании. При этом замеченная публикация набрала 1,2 млн. просмотров и более сотни репостов.

Третья группа сайтов, с которых сразу скачивались вредоносные исполняемые файлы: app.delpaseek[.]com, app.deapseek[.]com и dpsk.dghjwd[.]cn.

Механика этих атак нацелена на технически более продвинутых пользователей - загружаемая вредоносная нагрузка маскируется под Ollama, фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях.

Пользователю оставалось лишь запустить «клиент DeepSeek» на своем устройстве, и вредоносная программа сделает свое дело — создаст туннель для передачи трафика по протоколу KCP с заданными параметрами.

Технические подробности и IoC - отчете.

BY SecAtor