DeepSneak aldatmacası: Yapay zeka asistanı gibi görünen yeni zararlı yazılım kullanıcı verilerini çalıyor
Kaspersky Küresel Araştırma ve Tahlil Grubu araştırmacıları, PC’ler için geçersiz DeepSeek-R1 Büyük Lisan Modeli (LLM) uygulaması aracılığıyla Truva atı dağıtan yeni bir berbat maksatlı kampanya keşfetti. Daha evvel bilinmeyen berbat maksatlı yazılım, Google Reklamları aracılığıyla tanıtılan resmi DeepSeek ana sayfası üzere davranan bir kimlik avı sitesi aracılığıyla teslim ediliyor. Akınların maksadı, web trafiğini saldırganların sunucuları üzerinden yönlendirmek için kurbanın aygıtındaki web tarayıcılarını yapılandıran, böylelikle kullanıcı datalarını (kimlik bilgileri ve başka hassas bilgiler) toplamaya müsaade veren bir makûs hedefli yazılım olan BrowserVenom’u yüklemek olarak öne çıkıyor. Olayla ilgili Brezilya, Küba, Meksika, Hindistan, Nepal, Güney Afrika ve Mısır’da birden fazla enfeksiyon tespit edildi.
DeepSeek-R1 şu anda en tanınan LLM’lerden biri. Kaspersky daha evvel kurbanları çekmek için bu modeli taklit eden zararlı yazılımlarla yapılan taarruzları rapor etmişti. DeepSeek, Ollama yahut LM Studio üzere araçlar kullanılarak bilgisayarlarda çevrimdışı olarak da çalıştırılabiliyor. Saldırganlar kampanyalarında bundan faydalanıyor.
Kullanıcılar, Google Reklamları aracılığıyla özgün DeepSeek platformunun adresini taklit eden bir kimlik avı sitesine yönlendiriliyor. Kullanıcı “deepseek r1” araması yaptığında tuzak teması reklamda gösteriliyor. Kullanıcı uydurma DeepSeek sitesine ulaştığında, kurbanın işletim sistemini belirlemek için bir denetim yapılıyor. Şayet işletim sistemi Windows ise, kullanıcıya LLM ile çevrimdışı çalışmaya yönelik araçları indirmek için bir seçenek sunuluyor. Araştırma sırasında öbür işletim sistemlerinin hedeflenmediği de görüldü.
DeepSeek’i taklit eden berbat emelli web sitesi
Düğmeye tıklayıp CAPTCHA testini geçtikten sonra, berbat hedefli bir yükleyici evrakı indiriliyor ve kullanıcıya Ollama yahut LM Studio’yu indirme ve yükleme seçenekleri sunuluyor. Her iki seçenek de seçildiğinde, yasal Ollama yahut LM Studio yükleyicileriyle birlikte makûs gayeli yazılım Windows Defender’ın muhafazasını özel bir algoritma ile atlayarak sisteme yükleniyor. Bu prosedür Windows’taki kullanıcı profili için yönetici ayrıcalıkları gerektiriyor. Windows’taki kullanıcı profili bu ayrıcalıklara sahip değilse, bulaşma gerçekleşmiyor.
İstismar edilen LLM çerçevelerini yüklemek için sunulan iki seçenek
Kötü maksatlı yazılım yüklendikten sonra, sistemdeki tüm web tarayıcıları saldırganlar tarafından denetim edilen bir proxy’yi zorla kullanacak formda yapılandırarak hassas tarama datalarını gözetlenmesi ve tarama aktifliğinin izlenmesi sağlanıyor. Kaspersky araştırmacıları, zorlayıcı yapısı ve makus niyetli hedefi nedeniyle bu ziyanlı yazılımı BrowserVenom olarak isimlendirdi.
Kaspersky Küresel Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Lisandro Ubiedo, şunları söylüyor: “Büyük lisan modellerini çevrimdışı çalıştırmak saklılık avantajları sunarken ve bulut hizmetlerine olan bağımlılığı azaltırken, uygun tedbirler alınmadığında kıymetli riskleri de beraberinde getirebilir. Siber hatalılar tuş kaydedicileri, kripto madencileri yahut bilgi hırsızlarını gizlice yükleyebilen makûs hedefli paketler ve geçersiz yükleyiciler dağıtarak açık kaynaklı yapay zeka araçlarının popülerliğini giderek daha fazla istismar ediyor. Bu düzmece araçlar, bilhassa kullanıcılar bunları doğrulanmamış kaynaklardan indirdiğinde, kullanıcının hassas bilgilerini tehlikeye atıyor ve tehdit oluşturuyor.”
Bu üzere tehditlerden korunmak için Kaspersky aşağıdakileri öneriyor:
- Gerçek olduklarını doğrulamak ve dolandırıcılıktan kaçınmak için web sitelerinin adreslerini denetim edin.
- Çevrimdışı LLM araçlarını sırf resmi kaynaklardan indirin (örneğin ollama.com, lmstudio.ai gibi).
- Windows’u yönetici ayrıcalıklarına sahip bir profilde kullanmaktan kaçının.
- Kötü emelli belgelerin açılmasını önlemek için emniyetli siber güvenlik tahlilleri kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
