Gli esperti di Kaspersky hanno scoperto una campagna di malvertising usata per distribuire un falso installer di DeepSeek R1. Si tratta in realtà di un malware che intercetta il traffico di rete della vittima e ruba diversi dati sensibili. Questa è l’ennesima dimostrazione che i cybercriminali sfruttano la popolarità dei chatbot AI per le loro attività illecite.
Malvertising e phishing
La tecnica del malvertising viene utilizzata per pubblicizzare siti di phishing su Google Search. Quando l’utente cerca “deepseek r1“, all’inizio della pagina dei risultati viene mostrato il link sponsorizzato che porta ad un sito simile a quello di DeepSeek.
Appena l’utente visita il sito viene effettuato il controllo del sistema operativo. Se è Windows appare un pulsante “Try now“. Dopo aver cliccato viene mostrato un CAPTCHA e, dopo la sua risoluzione, un pulsante “Download now“. Con un clic viene scaricato sul computer il presunto installer del chatbot.
All’avvio viene visualizzato un altro CAPTCHA fasullo. Dopo l’aggiunta del segno di spunta nel checkbox, l’utente vede due opzioni per scaricare Ollama e LM Studio. In entrambi i casi viene anche scaricato ed eseguito BrowserVenom, un malware che modifica le impostazioni dei browser per reindirizzare il traffico attraverso un proxy gestito dai cybercriminali. Vengono quindi intercettati dai sensibili (password, cookie e altri) e monitorata la navigazione dell’utente.
L’infezione funziona solo se l’utente ha i diritti di amministratore. Al momento gli attacchi sono limitati a sette paesi, ma il loro numero potrebbe aumentare. Gli utenti devono prestare attenzione delle inserzioni nei motori di ricerca e scaricare i tool AI solo da siti o store ufficiali.
Ti potrebbe interessare
14 giu 2025