Kaspersky Global Araştırma ve Analiz Ekibi, PC kullanıcılarını hedef alan yeni ve gelişmiş bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Bu kampanya, popüler Büyük Dil Modeli (LLM) uygulaması DeepSeek-R1'in sahte bir versiyonunu kullanarak kullanıcıları kandırıyor. Saldırganlar, resmi DeepSeek web sitesinin neredeyse birebir kopyası olan sahte bir kimlik avı sitesi oluşturdu ve bu siteyi Google Reklamları üzerinden yaygın şekilde tanıttı.
Kurbanlar, "deepseek r1" şeklinde arama yaptıklarında, reklamlar aracılığıyla sahte siteye yönlendiriliyor. Site, kullanıcının işletim sistemini tespit ettikten sonra, yalnızca Windows kullanıcılarına yönelik çevrimdışı LLM araçlarını indirme seçeneği sunuyor. Diğer işletim sistemleri bu kötü amaçlı kampanyanın dışında bırakılmış durumda.
Sahte site üzerinden CAPTCHA doğrulaması yapıldıktan sonra, kullanıcıya Ollama veya LM Studio gibi popüler LLM çerçevelerinin yükleyicileri gibi görünen dosyalar indiriliyor. Ancak bu dosyalar, Windows Defender korumasını özel tekniklerle aşarak sisteme gizlice BrowserVenom adlı kötü amaçlı yazılımı yüklüyor. Bu işlem için kullanıcının yönetici ayrıcalıklarına sahip bir Windows profiline sahip olması gerekiyor; aksi takdirde bulaşma gerçekleşmiyor.
Yazılım yüklendikten sonra, sistemdeki tüm web tarayıcıları saldırganların kontrolündeki proxy sunucularına zorunlu olarak yönlendirilerek, kurbanın internet trafiği yakalanıyor ve hassas veriler çalınıyor. Bu yöntemle kullanıcıların kimlik bilgileri ve diğer gizli bilgileri ele geçiriliyor.
Kaspersky Güvenlik Araştırmacısı Lisandro Ubiedo, konuyla ilgili olarak şunları belirtiyor: "Büyük dil modellerinin çevrimdışı kullanımı gizlilik açısından avantaj sağlasa da, siber suçlular bu popüler teknolojiyi kötü amaçlı yazılımlarını yaymak için kullanıyor. Açık kaynaklı yapay zeka araçlarının yaygınlaşmasıyla birlikte, sahte yükleyiciler ve kötü amaçlı paketler aracılığıyla tuş kaydediciler, kripto madenciler ve bilgi hırsızları gizlice sistemlere sızıyor. Bu tür sahte kaynaklardan indirilen yazılımlar, kullanıcıların hassas verilerini ciddi şekilde tehlikeye atıyor."
Bu tür tehditlerden korunmak için Kaspersky'nin önerileri şunlardır:
- Web sitelerinin adreslerini dikkatle kontrol edin, resmi ve doğrulanmış kaynaklardan emin olun.
- Çevrimdışı LLM araçlarını yalnızca resmi platformlardan indirin (örneğin, ollama.com veya lmstudio.ai).
- Windows işletim sisteminde yönetici ayrıcalıklarına sahip olmayan kullanıcı profillerini tercih edin.
- Güvenilir bir siber güvenlik yazılımı kullanarak kötü amaçlı dosyaların sisteme girişini engelleyin.
Bu tehditlere karşı dikkatli olmak, kullanıcıların kişisel ve kurumsal verilerinin güvenliğini sağlamak adına kritik önem taşıyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
https://www.beyazhaberajansi.com/deepsneak-aldatmacasi-yapay-zeka-asistani-gibi-gorunen-yeni-zararli-yazilim-kullanici-verilerini-caliyor/143971/