Kaspersky Global Araştırma ve Analiz Ekipleri (GReAT), sahte "DeepSeek R1 Büyük Dil Modeli" (LLM) uygulaması üzerinden Truva atı yaygın bir kötü amaçlı yazılım kampanyası tespit etti.
Yapılan açıklamada, DeepSeek, Ollama ve LM Studio gibi çevrim dışı LLM araçlarının kötü niyetli saldırganlar tarafından kullanıldığı belirtildi. Kullanıcılar, Google reklamları aracılığıyla orijinal DeepSeek platformunu taklit eden kimlik avı sitelerine yönlendiriliyor. "deepseek r1" araması yapanlar, bu sahte siteye reklam olarak yönlendirilmekte.
Sahte siteye ulaşan kullanıcıların işletim sistemi kontrol ediliyor. Windows kullanıcılarına, LLM araçlarını indirmek için seçenek sunuluyor. CAPTCHA doğrulamasından sonra kötü amaçlı yükleyici dosya indiriliyor ve Ollama veya LM Studio yükleme seçenekleri gösteriliyor.
Bulaşma için Windows kullanıcı profili yönetici ayrıcalıklarına sahip olmalı; ayrıcalık yoksa kötü amaçlı yazılım yüklenemiyor. Yükleme sonrası sistemdeki tüm internet tarayıcıları, saldırgan kontrolündeki proxy üzerinden çalışacak şekilde ayarlanarak kullanıcıların tarama verileri izleniyor.
Kaspersky, bu zararlı yazılımı "BrowserVenom" olarak adlandırdı. Şirket, kullanıcıları bu tür tehditlerden korumak için sitelerin doğruluğunu kontrol etmeleri, LLM araçlarını sadece resmi kaynaklardan indirmeleri, yönetici ayrıcalıklı profillerle Windows kullanmamaları ve güvenilir antivirüs programları kullanmaları konusunda uyardı.
Kaspersky Güvenlik Araştırmacısı Lisandro Ubiedo, çevrim dışı büyük dil modellerinin gizlilik avantajları sunduğunu ancak doğrulanmamış kaynaklardan indirildiğinde büyük risk taşıdığını vurguladı. Ubiedo, siber suçluların sahte yükleyicilerle tuş kaydedici, kripto madenci ve bilgi hırsızlarını gizlice yaydığını belirterek, "Bu tür kötü amaçlı paketler kullanıcıların hassas verilerini tehlikeye atıyor ve ciddi tehdit oluşturuyor" dedi.