Uważajcie na DeepSeek! Tą nazwą mogą posługiwać się kryptowalutowi oszuści
Jak donosi serwis Cybernews, niemal 40 stron internetowych podszywających się pod chińską platformę sztucznej inteligencji DeepSeek zostało utworzonych w celu rozprzestrzeniania złośliwego oprogramowania Vidar oraz atakowania portfeli kryptowalutowych.
Firma Zscaler ujawniła, że cyberprzestępcy nakłaniają ofiary do odwiedzania stron rzekomo powiązanych z DeepSeek. Po zarejestrowaniu się użytkownicy są przekierowywani na fałszywą stronę CAPTCHA, która umożliwia pobranie złośliwego oprogramowania Vidar. Ten zaawansowany trojan wykrada wrażliwe pliki i dane zapisane w ponad tuzinie przeglądarek, w tym Google Chrome, Mozilla Firefox, Microsoft Edge i Opera GX. Hakerzy atakują także liczne rozszerzenia kryptowalutowe, m.in. Coinbase i MetaMask.
Przestępcy podszywają się pod DeepSeek
Złośliwe strony nie tylko rozprzestrzeniają malware, ale są także wykorzystywane do przeprowadzania schematów „pump-and-dump” na rynku kryptowalut, oszustw związanych z kartami podarunkowymi oraz fałszywych usług hazardowych.
W obliczu rosnącej popularności DeepSeek cyberprzestępcy wykorzystują hype, by przejmować cyfrowe portfele użytkowników. Odkryto liczne fałszywe domeny podszywające się pod tę chińską platformę AI, stanowiące poważne zagrożenie dla nieświadomych użytkowników. Podrobione strony DeepSeek służą do kradzieży danych logowania, przechwytywania plików cookies oraz eksfiltracji plików i informacji o użytkownikach. Według Zscaler wykryto około 40 takich domen, które pomagają w rozprzestrzenianiu złośliwego oprogramowania Vidar. Złośliwe oprogramowanie atakuje aż 80 rozszerzeń związanych z kryptowalutami, w tym popularne platformy takie jak MetaMask, Coinbase, Binance i Trust Wallet. Poza tym aktywnie wykorzystuje dane przechowywane w przeglądarkach.
Przeglądarki, które znajdują się na celowniku Vidar, to Google Chrome, Microsoft Edge, Mozilla Firefox, Chromium, Opera, Opera Crypto, Opera GX, 360Browser, Tencent, Vivaldi, CryptoTab Browser, Epic Privacy Browser, CocCoc, CentBrowser i BraveSoftware. Oprócz infekowania systemów złośliwym oprogramowaniem, fałszywe strony DeepSeek są wykorzystywane do szeregu innych oszustw, w tym manipulacji rynkiem kryptowalut, fałszywych kart podarunkowych i oszukańczych platform hazardowych.
Jak cyberprzestępcy kradną dane logowania?
Atak rozpoczyna się od zwabienia ofiary na fałszywą stronę podszywającą się pod DeepSeek. Po rejestracji użytkownik zostaje przekierowany na stronę udającą system CAPTCHA. To popularny mechanizm bezpieczeństwa, który zazwyczaj pomaga odróżnić ludzi od botów. Jednak w tym przypadku przestępcy wykorzystują go do dostarczenia złośliwego kodu na urządzenie użytkownika. Gdy użytkownik klika pole „Nie jestem robotem”, JavaScript na stronie automatycznie kopiuje polecenie PowerShell do schowka. Fałszywe instrukcje weryfikacyjne nakłaniają użytkowników do ręcznego uruchomienia tego polecenia w oknie „Uruchom” systemu Windows. Jeśli użytkownik wykona polecenie, do systemu zostaje pobrany i uruchomiony plik Vidar malware. Następnie rozpoczyna się proces identyfikowania i wykradania wrażliwych plików oraz innych poufnych danych. Na dodatek Vidar ukrywa swoją komunikację z serwerami sterującymi (C2) za pomocą legalnych platform, takich jak Telegram i Steam, co utrudnia wykrycie i neutralizację zagrożenia.
Atakujący, wykorzystując renomę DeepSeek, skutecznie infekują urządzenia użytkowników i przejmują kontrolę nad ich cyfrowymi zasobami. Aby uniknąć zagrożenia, zaleca się zachowanie ostrożności przy odwiedzaniu stron związanych z AI oraz dokładne sprawdzanie adresów URL przed rejestracją i podawaniem jakichkolwiek danych osobowych.