Google Reklamları, Sahte DeepSeek Zararlı Yazılımını Yaymak İçin Kullanıldı

Siber güvenlik araştırmacıları, popüler AI sohbet botu DeepSeek-R1’in kullanıcılarını hedef alan tehlikeli yeni bir zararlı yazılım kampanyasını belirledi.

Kaspersky‘deki siber güvenlik araştırmacıları, saldırganların Google Ads kullanarak sahte bir siteyi tanıtmak için modelin popülerliğinden faydalandığını ve kullanıcıları zararlı bir yazılımı indirmeye yönlendirdiğini rapor ediyor.

Kötü niyetli reklam, kullanıcıları “deepseek-platform[.]com” adlı sahte bir siteye yönlendiriyor – bu site, resmi DeepSeek sitesini taklit ediyor. “Hemen dene” düğmesine tıklayan kullanıcılara bir sahte CAPTCHA sunuluyor ve ardından DeepSeek yükleyicisi gibi görünen bir şeyi indirmeleri isteniyor. Aslında “AI_Launcher_1.21.exe” adlı bu dosya, karmaşık bir zararlı yazılım zinciridir.

Yükleyici, ikinci bir sahte CAPTCHA açar ve ardından Ollama ve LM Studio gibi bilinen AI araçlarını yüklemeyi önerir. Ancak arka planda, enfeksiyonu başlatan gizli bir kod çalışır. Öncelikle, kullanıcının klasörünü Windows Defender’dan hariç tutarak antivirüs yazılımını atlatmaya çalışır. Sonra, başka bir güvenilmez alan adından daha fazla zararlı yazılım indirmeye çalışır.

Son aşama yükü olan BrowserVenom, tüm web trafiğini saldırganların işlettiği proxy sunuculara yönlendirmek için tarayıcı yapılandırmalarını değiştirir. Bu, onlara kullanıcı verilerini ve çevrimiçi aktiviteleri izleme olanağı sağlar. Zararlı yazılım, Firefox ve Tor’daki tarayıcı kısayollarını ve ayarlarını değiştirirken sisteme sahte bir sertifika ekler.

Araştırmacılar, saldırının zaten Brezilya, Küba, Meksika, Hindistan, Nepal, Güney Afrika ve Mısır’daki kullanıcıları hedef aldığını belirtiyorlar.

“Raporladığımız gibi, DeepSeek, saldırganların yeni kurbanları çekmek için mükemmel bir yem olmuştur,” dediler araştırmacılar. Kullanıcıları, bu tuzaklara düşmemek için, yazılım indirirken bile arama sonuçlarından, web sitesi URL’lerini ve sertifikalarını kontrol etmeleri konusunda uyarıyorlar.