A nyílt forráskódú generatív AI modellek, mint például a DeepSeek, hogyan segíthetik a támadókat az adathalász és kártevőterjesztési stratégiák fejlesztésében.
A támadók olyan weboldalakat hoztak létre, amelyek megtévesztően hasonlítanak a DeepSeek hivatalos oldalára. A hamis weboldalak egy „partner regisztrációs” eljárásra hivatkozva egy hamis CAPTCHA oldalra irányították a látogatókat. A felhasználók a „Nem vagyok robot” mező kipipálásakor valójában egy rosszindulatú JavaScript kódot aktiválnak, amely automatikusan egy PowerShell parancsot másol a vágólapjukra. Ez a kód eltávolítja a Windows Defender egyes biztonsági beállításait, majd letölti és elindítja a Vidar információtolvaj malware egy példányát.
A Vidar elsődleges célja érzékeny adatok gyűjtése, például: bejelentkezési hitelesítő adatok, böngésző cookie-k, személyes fájlok és kriptovaluta pénztárcák információi. A fertőzött gépeken a Vidar bizonyos fájlnevekre és kiterjesztésekre is keres.
A Vidar kártevő Telegram és Steam platformokat használt a parancs- és vezérlő (C2) infrastruktúra elrejtésére. A fertőzött rendszerek egy Telegram csatornára és egy nyilvános Steam profilra csatlakoztak, ahonnan a támadók irányíthatták a kártevőt.
A támadás különösen veszélyes, mivel a Vidar kártékony szoftver széleskörű adatlopási képességekkel rendelkezik, célba véve a kriptotárcákat, böngészőadatokat és egyéb érzékeny információkat.
Robi, Attila