A generatív AI eszközök robbanásszerű elterjedése új lehetőségeket teremtett a kiberbűnözők számára. A DeepSeek AI chatbot 2025. január 20-ai indulása után gyorsan népszerűvé, ezáltal célponttá vált a kiberbűnözők számára. A támadók hamis weboldalakat hoztak létre, amelyek a DeepSeek-re hasonlítanak, hogy felhasználói adatokat szerezzenek meg vagy rosszindulatú szoftvereket terjesszenek. A Zscaler ThreatLabz jelentése rámutat arra, hogy a nyílt forráskódú generatív AI modellek, mint például a DeepSeek, hogyan segíthetik a támadókat az adathalász és kártevőterjesztési stratégiák fejlesztésében.
A támadók olyan weboldalakat hoztak létre, amelyek megtévesztően hasonlítanak a DeepSeek hivatalos oldalára. A hamis weboldalak egy “partner regisztrációs” eljárásra hivatkozva egy hamis CAPTCHA oldalra irányították a látogatókat. A felhasználók a „Nem vagyok robot” mező kipipálásakor valójában egy rosszindulatú JavaScript kódot aktiválnak, amely automatikusan egy PowerShell parancsot másol a vágólapjukra. Ez a kód eltávolítja a Windows Defender egyes biztonsági beállításait, majd letölti és elindítja a Vidar információtolvaj malware egy példányát.
A Vidar elsődleges célja érzékeny adatok gyűjtése, például: bejelentkezési hitelesítő adatok, böngésző cookie-k, személyes fájlok és kriptovaluta pénztárcák információi. A fertőzött gépeken a Vidar bizonyos fájlnevekre és kiterjesztésekre is keres.
A Vidar kártevő Telegram és Steam platformokat használt a parancs- és vezérlő (C2) infrastruktúra elrejtésére. A fertőzött rendszerek egy Telegram csatornára és egy nyilvános Steam profilra csatlakoztak, ahonnan a támadók irányíthatták a kártevőt.
A támadás különösen veszélyes, mivel a Vidar kártékony szoftver széleskörű adatlopási képességekkel rendelkezik, célba véve a kriptotárcákat, böngészőadatokat és egyéb érzékeny információkat. A támadók továbbá legitim platformokat, például a Telegramot és a Steamet használják a C2 kommunikáció elrejtésére, ami nehezíti a detektálást és a visszafejtést.
Ez a támadási kampány jól szemlélteti, hogy a kiberbűnözők milyen gyorsan és hatékonyan képesek kihasználni egy új, népszerű platform hírnevét. A DeepSeek népszerűségét kihasználva megtévesztő weboldalakat hoztak létre, amelyek hamis CAPTCHA megerősítéssel vágólap-injektálást alkalmaztak, hogy a felhasználók saját kezűleg futtassák a malware-t.
A generatív AI népszerűségének növekedése tovább fokozza az ilyen típusú fenyegetések elterjedését, amelyek célja az AI iránt érdeklődő felhasználók megtévesztése és adataik megszerzése.
Védekezési lehetőségek:
- Mindig ellenőrizzük a weboldalak URL-jét!
- Használjuk a böngészők beépített biztonsági megoldásait az ál-weboldalak kiszűrésére.
- Korlátozzuk a PowerShell szkriptek futtatását!
- Adathalászat felismerése tudatosító anyagaink segítségével.
