Осторожно, подделка: в соцсети Х под видом DeepSeek распространяется вредоносное ПО
Эксперты «Лаборатории Касперского» обнаружили сразу несколько активных кампаний по распространению зловредных программ для ПК через группы страниц, копирующих дизайн сайта DeepSeek, а также в отдельном случае мимикрирующих под нейросеть Grok. Речь идёт, в частности, о ранее неизвестном стилере, вредоносных PowerShell-скриптах и бэкдоре. Ссылки на поддельные ресурсы размещались в том числе в социальной сети X (бывший Twitter). С атаками могли столкнуться пользователи в разных странах, включая Россию.
Первая группа сайтов и новый стилер
Изначально в названии доменов использовались версии моделей DeepSeek V3 и R1. На поддельных ресурсах отсутствовала опция начать чат, была только возможность скачать архив с клиентом для Windows. Однако вместо заявленной программы на устройство проникал ранее неизвестный стилер. С его помощью злоумышленники могут получить доступ к данным пользователя на заражённом компьютере: файлам cookie и сессии из браузеров, логинам и паролям от почты, аккаунтам в играх и других сервисах, файлам с заданными расширениями, а также к информации от криптокошельков. Позднее злоумышленники заменили приманку с DeepSeek на Grok, сама схема и зловред при этом остались прежними.
Вторая группа сайтов и вредоносный скрипт
Другие ресурсы использовали геофенсинг: при запросах, например с российских IP-адресов, выдавали «заглушку», но, если это был европейский IP-адрес, сервер показывал страницу, оформленную под DeepSeek. На ней предлагалось скачать клиент нейросети или запустить чат-бот. При любом из этих действий скачивался вредоносный инсталлятор и в результате цепочки загрузок человек сталкивался с PowerShell-скриптом. Этот скрипт позволяет злоумышленникам подключиться к компьютеру жертвы.
Третья группа сайтов и бэкдор
Механика атак на отдельных ресурсах была нацелена на более продвинутых пользователей. Загружаемая вредоносная нагрузка маскировалась под Ollama — фреймворк для запуска больших языковых моделей, таких как DeepSeek, на локальных мощностях. Вместо этих инструментов на устройства пользователей загружался бэкдор, который при запуске клиента DeepSeek открывал злоумышленникам доступ к компьютеру жертвы.
«В обнаруженных кампаниях интересны не только вредоносные программы, которые маскировались под клиенты для DeepSeek, но и вектор распространения поддельных сайтов. Например, ссылка на один из зловредных ресурсов была опубликована в социальной сети X. Это пост от аккаунта, якобы принадлежащего австралийской компании. Сообщение с вредоносной ссылкой набрало 1,2 миллиона просмотров и более сотни репостов. Однако значительную часть из них, судя по всему, сделали боты. Чтобы охватить как можно больше потенциальных жертв, атакующие также могут использовать технику тайпсквоттинга или закупать рекламные переходы на фальшивые страницы через партнёрские программы, рассылать ссылки в мессенджерах», — комментирует Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают пользователей от вредоносных программ, которые фигурируют в обнаруженных кампаниях.
похожие материалы
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.
УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений).
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика
Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.
Кибергруппа Everest заявила о краже 900 ГБ данных у Nissan
Кибергруппа, связанная с вымогательским ПО Everest, сообщила о предполагаемом взломе информационных систем японского автопроизводителя Nissan и хищении около 900 ГБ данных.
Найдена серия опасных багов в ядре Linux, влияющих на память, сеть и изоляцию процессов
Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра.
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.
ИИ учится мыслить без данных
Исследователи представили новый подход в области искусственного интеллекта под названием Absolute Zero Reasoner (AZR) - систему, способную самостоятельно развивать навыки рассуждения без использования внешних обучающих данных.
Критическая уязвимость Ni8mare угрожает тысячам серверов n8n
Исследователи кибербезопасности выявили критическую уязвимость в популярной платформе автоматизации рабочих процессов n8n, получившую обозначение Ni8mare и присвоенный идентификатор CVE-2026-21858.
X вскоре опубликует исходный код нового алгоритма рекомендаций
Илон Маск объявил, что социальная сеть X* в течение семи дней откроет для публики исходный код своего нового алгоритма, который отвечает за рекомендации как органических, так и рекламных постов пользователям платформы.