Kaspersky Global Araştırma ve Analiz Ekipleri (GReAT), Truva atı yaymak amacıyla tasarlanmış sahte ‘DeepSeek R1 Büyük Dil Modeli’ (LLM) uygulaması aracılığıyla yeni bir kötü niyetli kampanya tespit ettiklerini açıkladı.
Kaspersky’nin açıklamasına göre, DeepSeek; Ollama veya LM Studio gibi araçların bilgisayarlarda çevrim dışı olarak çalıştırılmasına olanak sağlıyor. Bu durum, saldırganların kampanyalarında bu özellikten yararlanmalarına neden oluyor.
PLATFORM ADRESİNİ TAKLİT EDEN BİR SİTEYE YÖNLENDİRİYOR
Kullanıcılar, ilk aşamada Google reklamları aracılığıyla orijinal DeepSeek platformunun adresini taklit eden bir kimlik avı sitesine yönlendiriliyor.
Kullanıcı ‘deepseek r1’ araması yaptığında, bu tuzak bağlantısı reklamda gösteriliyor.
Sahte DeepSeek sitesine ulaştıklarında, işletim sistemleri tespit ediliyor.
Eğer işletim sistemi Windows ise, kullanıcıya LLM ile çevrim dışı çalışmaya yönelik araçları indirme seçeneği sunuluyor.
ÖZEL BİR ALGORİTMA İLE SİSTEME YÜKLENİYOR
Kullanıcı, belirtilen düğmeye tıklayıp ‘CAPTCHA’ testini geçtikten sonra kötü niyetli bir yükleyici dosyası indiriliyor ve daha sonra kendisine Ollama veya LM Studio’yu indirme ve yükleme seçenekleri sunuluyor.
Her iki seçenek seçildiğinde, yasal Ollama veya LM Studio yükleyicileriyle birlikte kötü amaçlı yazılım indiriliyor. Bu süreç, Windows Defender’ın korumasını özel bir algoritma ile aşarak sistemi etkileyebiliyor.
Bu uygulama, Windows’taki kullanıcı profili için yönetici ayrıcalıkları gerektirdiğinden, bu ayrıcalıklara sahip olmayan profillerde bulaşma gerçekleşmiyor.
HASSAS TARAMA VERİLERİ GÖZETLENİYOR
Kötü amaçlı yazılım yüklendiğinde, kullanıcıların internet tarayıcıları, saldırganlar tarafından kontrol edilen bir ‘proxy’ ile zorla yapılandırılıyor. Bu durum, hassas tarama verilerinin izlenmesi ve tarama etkinliğinin gözlemlenmesi anlamına geliyor.
Kaspersky araştırmacıları, bu zararlı yazılımı ‘BrowserVenom’ olarak isimlendiriyor.
SİBER GÜVENLİK ÇÖZÜMLERİ ÖNERİLİYOR
Şirket, bu tarz tehditlerden korunmak için, tehditlerin gerçekliğini doğrulamayı, sahte web sitelerinin adreslerini kontrol etmeyi, çevrim dışı LLM araçlarını yalnızca resmi kaynaklardan indirmeyi, Windows’u yönetici ayrıcalıklarına sahip bir profilde kullanmamayı ve güvendiğiniz siber güvenlik çözümlerini kullanmayı öneriyor.
Kullanıcının hassas verilerini tehlikeye atıyor
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Lisandro Ubiedo, büyük dil modellerinin çevrim dışı çalıştırılmasının gizlilik avantajları sunduğunu ve bulut hizmetlerine olan bağımlılığı azalttığını ifade etti.
Ubiedo, uygun önlemler alınmadığı takdirde bu modellerin ciddi riskler taşıyabileceğine dikkat çekerek, şu açıklamada bulundu:
Siber suçlular, tuş kaydedicileri, kripto madencileri veya bilgi hırsızlarını gizlice yükleyebilen kötü niyetli paketler ve sahte yükleyiciler dağıtarak açık kaynaklı yapay zeka araçlarının popülerliğini istismar ediyor. Özellikle kullanıcılar, bu sahte araçları doğrulanmamış kaynaklardan indirdiğinde, kendilerini ve hassas verilerini tehlikeye atmış oluyor.
