Kaspersky Global Araştırma ve Analiz Ekipleri (GReAT), bilgisayarlarda sahte ‘DeepSeek R1 Büyük Dil Modeli’ (LLM) uygulaması aracılığıyla yeni bir Truva atı dağıtma kampanyasını tespit ettiğini açıkladı.
Şirketin açıklamalarına göre, DeepSeek uygulamaları, Ollama veya LM Studio gibi araçlar kullanarak bilgisayarlarda çevrim dışı çalıştırılabiliyor ve bu durumdan yararlanan saldırganlar, kötü amaçlı kampanyalarında bu özelliği kullanıyor.
PLATFORM ADRESİNİ TAKLİT EDEN BİR SİTEYE YÖNLENDİRİYOR
Kullanıcılar, Google reklamları aracılığıyla orijinal DeepSeek platformunun adresini taklit eden bir kimlik avı sitesine yönlendirilmekte.
Kullanıcı, ‘deepseek r1’ araması yaptığında bu tuzak bağlantısı reklamda gösteriliyor.
Sahte DeepSeek sitesine ulaştıklarında, kullanıcıların işletim sistemleriyle ilgili bir kontrol yapılıyor.
Windows işletim sistemi tespit edildiğinde, kullanıcılara LLM ile çevrim dışı çalışmaya yönelik araçları indirme seçeneği sunuluyor.
ÖZEL BİR ALGORİTMA İLE SİSTEME YÜKLENİYOR
Kullanıcı, düğmeye tıkladığında ‘CAPTCHA’ testini geçmek zorunda kalıyor ve ardından kötü niyetli bir yükleyici dosyası indiriliyor. Bu dosya ile birlikte Ollama veya LM Studio’nun indirilmesi ve yüklenmesi seçenekleri sağlanıyor.
Her iki seçeneğin seçilmesi durumunda, yasal Ollama veya LM Studio yükleyicileriyle birlikte kötü amaçlı yazılım, Windows Defender’ın korumasını aşmak için özel bir algoritma kullanarak sisteme yükleniyor.
Bu süreç, Windows kullanıcı profili için yönetici ayrıcalıkları gerektirmekte. Eğer kullanıcının profili bu ayrıcılıkları taşımıyorsa, bulaşma gerçekleşmiyor.
HASSAS TARAMA VERİLERİ GÖZETLENİYOR
Kötü amaçlı yazılım yüklendikten sonra, sistemdeki tüm internet tarayıcıları, saldırganlar tarafından kontrol edilen bir ‘proxy’ üzerinden çalışacak şekilde ayarlanıyor. Böylece hassas tarama verileri gözetleniyor ve tarama etkinliği izlenebiliyor.
Kaspersky araştırmacıları, bu zararlı yazılımı zorlayıcı yapısı ve kötü niyetli amacı nedeniyle ‘BrowserVenom’ ismiyle tanımlıyor.
SİBER GÜVENLİK ÇÖZÜMLERİ ÖNERİLİYOR
Şirket, bu tür tehditlere karşı korunmak amacıyla, kötü niyetli siteleri kontrol etmeyi, çevrim dışı LLM araçlarının yalnızca güvenilir kaynaklardan indirilmesini, Windows’u yönetici ayrıcalıkları olmayan profillerden kullanmamayı ve güvenilir siber güvenlik çözümleri kullanmanın önemini vurguluyor.
Kullanıcının hassas verilerini tehlikeye atabilecek bu uygulamalar hakkında açıklama yapan Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Lisandro Ubiedo, büyük dil modellerinin çevrim dışı kullanımının gizlilik avantajları sağladığını belirtirken, bu durumun uygun önlemler alınmadığında önemli riskler de taşımakta olduğunu ifade etti.
Ubiedo, siber suçluların tuş kaydedicileri, kripto madencileri veya bilgi hırsızlarını gizlice yükleyebilen kötü niyetli paketler ve sahte yükleyiciler dağıtarak açık kaynaklı yapay zeka araçlarının popülaritesinden nasıl faydalandığını açıkladı. Bu sahte araçların kullanıcıların hassas verilerini tehlikeye attığını ve çeşitli tehditler oluşturduğunu vurguladı.
