Kaspersky Global Araştırma ve Analiz Ekibi araştırmacıları, sahte DeepSeek-R1 Büyük Dil Modeli (LLM) uygulaması aracılığıyla bilgisayarlara Truva atı dağıtan yeni bir kötü amaçlı kampanya tespit etti. Bu zararlı yazılım, Google Reklamları üzerinden tanıtılan DeepSeek ana sayfası görünümündeki bir kimlik avı sitesi aracılığıyla yayılıyor.
Saldırının temel amacı, kurbanın cihazındaki web tarayıcılarını saldırganların sunucuları üzerinden trafiği yönlendirecek şekilde yapılandıran BrowserVenom adlı zararlı yazılımı yüklemek. Bu yapılandırma, kullanıcı kimlik bilgileri ve diğer hassas bilgilerin toplanmasına imkan tanıyor. Brezilya, Küba, Meksika, Hindistan, Nepal, Güney Afrika ve Mısır’da çok sayıda enfeksiyon rapor edildi.
DeepSeek-R1, güncel LLM’ler arasında yer alıyor ve Kaspersky daha önce de bu modeli taklit eden zararlı yazılımlarla yapılan saldırıları bildirmişti. Saldırganlar, DeepSeek’in Ollama veya LM Studio gibi araçlar kullanılarak çevrimdışı çalıştırılabilmesini kampanyalarında kullanıyor.
Kullanıcılar, Google Reklamları aracılığıyla orijinal DeepSeek platformunun adresi taklit eden bir kimlik avı sitesine yönlendiriliyor. Kullanıcı “deepseek r1” araması yaptığında, tuzak bağlantısı reklam olarak görünüyor. Kullanıcı sahte DeepSeek sitesine ulaştığında, işletim sistemi kontrol ediliyor ve eğer Windows ise, kullanıcıya çevrimdışı LLM araçlarını indirme seçeneği sunuluyor. Araştırma sırasında diğer işletim sistemlerinin hedeflenmediği gözlemlendi.
Düğmeye tıklayıp CAPTCHA testini geçtikten sonra, kötü amaçlı bir yükleyici dosyası indiriliyor. Kullanıcıya Ollama veya LM Studio’yu indirme ve yükleme seçenekleri sunuluyor. Her iki seçenek de seçilse, yasal Ollama veya LM Studio yükleyicilerinin yanında kötü amaçlı yazılım, Windows Defender’ın korumasını özel bir algoritma ile aşarak sisteme yükleniyor. Bu işlem, Windows’taki kullanıcı profilinin yönetici ayrıcalıklarına sahip olmasını gerektiriyor. Eğer kullanıcı profili bu ayrıcalıklara sahip değilse, bulaşma gerçekleşmiyor.
Zararlı yazılım yüklendikten sonra, sistemdeki tüm web tarayıcıları saldırganlar tarafından kontrol edilen bir proxy’yi kullanmaya zorlanıyor. Bu, hassas tarama verilerinin gözetlenmesine ve tarama etkinliğinin izlenmesine olanak tanıyor. Kaspersky araştırmacıları, bu zararlı yazılımı BrowserVenom olarak adlandırıyor.
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Lisandro Ubiedo, büyük dil modellerini çevrimdışı çalıştırmanın gizlilik avantajları sunarken riskleri de beraberinde getirebileceğini belirtti. Siber suçluların, tuş kaydediciler, kripto madenciler veya bilgi hırsızları yükleyebilen kötü amaçlı paketler ve sahte yükleyiciler dağıtarak açık kaynaklı yapay zeka araçlarının popülerliğini istismar ettiğini ifade etti. Ubiedo, sahte araçların, özellikle doğrulanmamış kaynaklardan indirildiğinde, kullanıcının hassas verilerini tehlikeye attığını vurguladı.
Bu tür tehditlerden korunmak için Kaspersky bazı önlemler öneriyor. Web sitelerinin gerçekliğini doğrulamak ve dolandırıcılıktan kaçınmak için adresleri kontrol etmek gerekiyor. Çevrimdışı LLM araçlarını yalnızca resmi kaynaklardan indirmek öneriliyor. Windows’u yönetici ayrıcalıklarına sahip bir profilde kullanmaktan kaçınmak ve kötü amaçlı dosyaların açılmasını önlemek için güvenilir siber güvenlik çözümleri kullanmak da öneriler arasında yer alıyor.
