+372 5626264

Обнаружен вирус-шпион BrowserVenom, маскирующийся под приложение DeepSeek

Эксперты «Лаборатории Касперского» обнаружили новый вирус BrowserVenom, который заражает компьютеры под управлением Windows, маскируясь под популярное приложение чат-бота с искусственным интеллектом DeepSeek. Вредонос тайно следит за пользователем и манипулирует его интернет-трафиком.

BrowserVenom_virus_DeepSeek.jpg

Эксперты «Лаборатории Касперского» обнаружили новый вирус BrowserVenom, который представляет серьезную угрозу для пользователей Windows. Вредоносное ПО маскируется под легитимное приложение DeepSeek — популярного чат-бота с искусственным интеллектом.

Способ распространения

Киберпреступники используют изощренную схему распространения через поисковую рекламу Google. Они размещают рекламные объявления, которые появляются в выдаче по запросам, связанным с DeepSeek, в частности «deep seek r1». Злоумышленники рассчитывают на то, что новые пользователи могут не знать официальных доменов системы генеративного ИИ.

При переходе по рекламному объявлению пользователь попадает на поддельный сайт DeepSeek с кнопкой для загрузки модели R1. Цель — обманом заставить жертву скачать и запустить вредоносный исполняемый файл.

Принцип работы вируса

После запуска вредоносного файла на экране появляется окно, имитирующее установку DeepSeek R1. В действительности на компьютер устанавливается вирус BrowserVenom, который:

  • Перенастраивает установленные браузеры на маршрутизацию через контролируемый злоумышленниками прокси-сервер
  • Перехватывает конфиденциальные данные пользователя
  • Отслеживает историю посещения веб-сайтов
  • Расшифровывает интернет-трафик жертвы

География заражений

Хотя связанный с вредоносной кампанией домен уже заблокирован, эксперты зафиксировали факты заражения компьютеров в нескольких странах: Бразилии, Кубе, Мексике, Индии, Непале, Южной Африке и Египте.

Как защититься

Специалисты рекомендуют:

  • Всегда проверять подлинность сайта перед загрузкой файлов
  • Убеждаться, что открытый сайт действительно принадлежит искомому разработчику
  • Помнить, что запуск открытой модели DeepSeek R1 на ПК требует нескольких технических шагов, а не простого запуска одного исполняемого файла

Исследователи обнаружили в исходном коде фишингового сайта комментарии на русском языке, что указывает на возможное происхождение атакующих.

Подробную информацию о данной угрозе можно найти на официальном сайте SecureList.

В случае каких-либо проблем напишите нам, мы поможем быстро и качественно!