Sajber kriminalci su pokrenuli sofisticiranu kampanju napada koristeći Google-ove sponzorisane rezultate pretrage kako bi ciljali korisnike koji pretražuju DeepSeek, sve popularniju AI platformu.
Napad koristi uvjerljivo izrađene lažne reklame koje se pojavljuju na vrhu Google rezultata pretraživanja, oponašajući legitimne DeepSeek oglase, ali preusmjeravaju žrtve na zlonamjerne web stranice dizajnirane za distribuciju malicioznog softvera.
Ova kampanja predstavlja rastući trend hakera koji iskorištavaju pouzdane platforme za digitalno oglašavanje za isporuku malicioznih sadržaja korisnicima koji ništa ne sumnjaju.
Napad počinje kada korisnici pretražuju DeepSeek na Google-u i naiđu na sponzorisane rezultate koji na prvi pogled izgledaju autentično.
Maliciozni oglasi usmjeravaju korisnike na pažljivo napravljene lažne web stranice koje uvelike liče na službenu DeepSeek platformu.
Ove lažne stranice sadrže dugmad za preuzimanje koja, kada se kliknu, isporučuju trojanca programiranog na Microsoft srednjem jeziku (MSIL), demonstrirajući tehničku sofisticiranost napadača u kreiranju prijetnji na više platformi koje bi potencijalno mogle ciljati korisnike macOS-a.
Istraživači Malwarebytes-a su identifikovali maliciozni softver koji se isporučuje putem ovih lažnih oglasa kao “Malware.AI.1323738514” putem svog modula za otkrivanje umjetne inteligencije.
Istraživači su primijetili da se čini da je stopa uspjeha kampanje dovoljno visoka da napadači mogu priuštiti da nadmaše legitimne brendove za sponzorisano mjesto u Google-ovim rezultatima pretraživanja, što ukazuje na potencijalno unosnu operaciju.
Analiza mehanizma infekcije
Lanac infekcije pokazuje izuzetnu pažnju prema detaljima u taktikama socijalnog inženjeringa.
Lažna web stranica “deepseek-ai-soft.com” implementira elemente dizajna koji blisko oponašaju legitimne AI platforme, zajedno s uvjerljivom kopijom koja obećava dostupnost “DeepSeek-R1” “na webu, u aplikaciji i API-ju” i marketinškim frazama poput “Bolje od ChatGPT” kako bi privukli preuzimanja.
.webp)
Kada analizira mrežni promet sa zaraženih sistema, maliciozni softver uspostavlja trajne veze sa serverima za komandu i kontrolu koristeći sljedeći obrazac komunikacije:-
POST /ingest/status HTTP/1.1
Host: c2-deepseek-metrics.net
Content-Type: application/json
User-Agent: DeepSeekUpdater/1.2.3
Cookie: session=[encoded_base64_data]Mehanizam zaraze malicioznim softverom iskorištava rastući interes javnosti za AI alate, pri čemu je DeepSeek samo jedan vektor u nečemu što se čini širom kampanjom.
.webp)
Još jedna slična kampanja koju su identifikovali istraživači koristila je “deepseakr.com” s oglasima objavljenim pod imenima izdavača na hebrejskom jeziku, sugerišući više vektora napada ili potencijalno geografsko ciljanje.
Izvor: CyberSecurityNews
