<div id="post_message_797615">

Специалисты «Лаборатории Касперского» обнаружили фишинговый ресурс, имитирующий официальный сайт DeepSeek, где предлагалось скачать модель DeepSeek-R1 для ПК. Таким образом распространялась новая малварь <a href="https://securelist.ru/browservenom-mimicks-deepseek-to-use-malicious-proxy/111914/" target="_blank">BrowserVenom</a>, которая перехватывает трафик жертвы и следит за ее активностью в сети.<br/>
<br/>
Атака начиналась через фишинговый сайт (https[:]//deepseek-platform[.]com), для продвижения которого злоумышленники использовали рекламный сервис — подставной сайт намеренно выводился на первое место в результатах поиска по запросу «deepseek r1», одной из самых популярных моделей DeepSeek.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/521332/browservenom-mimicks1-1406x1536-1.jpg"/><br/>
<br/>
После перехода на сайт выполнялась проверка операционной системы жертвы. Если у пользователя установлена ОС Windows, открывалась страница с одной активной кнопкой — Try now («Попробовать сейчас»). Но также исследователи обнаруживали варианты сайта для других ОС с незначительными изменениями в формулировках, и все они побуждали пользователя нажать кнопку.<br/>
<br/>
Если человек кликал на кнопку, загружался установщик малвари с названием AI_Launcher_1.21.exe. Затем пользователю предлагалось загрузить на выбор один из легитимных инструментов — Ollama или LM Studio — для локального запуска DeepSeek в Windows.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/521332/browservenom-mimicks3-1536x693-1.jpg"/><br/>
<br/>
Жертва действительно получала доступ к нейросети, однако также на ее устройство проникал BrowserVenom. Троян устанавливал вредоносный сертификат в хранилище сертификатов и настраивал браузеры на зараженной машине на принудительное использование прокси-сервера злоумышленников.<br/>
<br/>
Для браузеров на базе Chromium (например, Chrome или Microsoft Edge) малварь добавляла аргумент proxy-server во все существующие LNK-файлы, а для браузеров на базе Gecko (например, Firefox или Tor Browser) изменяла настройки профиля текущего пользователя.<br/>
<br/>
Таким образом атакующие получают возможность собирать конфиденциальные данные жертвы и отслеживать ее активность в сети, расшифровывая трафик.<br/>
<br/>
Отмечается, что с этой вредоносной кампанией уже столкнулись пользователи в разных странах: Бразилии, Мексике, Индии, Непале, Южной Африке, Египте, на Кубе.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Под видом приложений и сайтов нейросетей злоумышленники активно распространяют вредоносное ПО и фишинговые ресурсы. Мы видели троянцев и вредоносные скрипты, которые мимикрировали под клиенты для ChatGPT, Grok и DeepSeek. С новой кампанией столкнулись пользователи сразу в нескольких странах мира. Не исключаем, что атакующие могут применять подобные схемы и в других регионах, в том числе в России», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/06/16/browservenom/" target="_blank">@ xakep.ru</a>
</div>