-
09/04/2020
-
94
-
697 bài viết
DeepSeek bị lợi dụng để phát tán mã độc, đánh cắp dữ liệu
Sự bùng nổ của các nền tảng AI trên không gian mạng đã trở thành mảnh đất màu mỡ cho tội phạm mạng lợi dụng, đặc biệt là với DeepSeek - một mô hình ngôn ngữ lớn (LLM) tiên tiến. Chúng khai thác triệt để sự phổ biến của DeepSeek, phát tán các trình cài đặt chứa mã độc, giả mạo dưới dạng ứng dụng khách hợp pháp của DeepSeek. Theo báo cáo từ Kaspersky Labs, nhiều trang web giả mạo đã được phát hiện, sử dụng các tên miền tương tự như DeepSeek để lừa người dùng tải xuống phần mềm độc hại/ mã độc nhằm đánh cắp thông tin.
* Phương thức tấn công:
- Trang web giả mạo: Các trang web như r1-deepseek[.]net và v3-deepseek[.]com được thiết kế giống trang chính thức của DeepSeek, nhưng thay vì cung cấp chức năng trò chuyện, chúng hiển thị nút "Get DeepSeek App" dẫn đến việc tải xuống tệp ZIP độc hại.
- Tệp ZIP độc hại: Khi người dùng nhấp vào nút tải xuống, một tệp “deep-seek-installation.zip” sẽ được tải về, chứa một tệp shortcut (LNK). Khi được chạy, tệp LNK này sẽ thực thi một tập lệnh từ xa, tải xuống và kích hoạt các tải trọng độc hại khác, bao gồm:
- Phát tán qua mạng xã hội: Kẻ tấn công sử dụng mạng xã hội để quảng bá các trình cài đặt DeepSeek giả mạo, với một số bài đăng trên X (trước đây là Twitter) thu hút hơn 1,2 triệu lượt xem, chủ yếu thông qua các bot tự động.
* Các chuyên gia ANM khuyến cáo người dùng:
* Phương thức tấn công:
- Trang web giả mạo: Các trang web như r1-deepseek[.]net và v3-deepseek[.]com được thiết kế giống trang chính thức của DeepSeek, nhưng thay vì cung cấp chức năng trò chuyện, chúng hiển thị nút "Get DeepSeek App" dẫn đến việc tải xuống tệp ZIP độc hại.
- Tệp ZIP độc hại: Khi người dùng nhấp vào nút tải xuống, một tệp “deep-seek-installation.zip” sẽ được tải về, chứa một tệp shortcut (LNK). Khi được chạy, tệp LNK này sẽ thực thi một tập lệnh từ xa, tải xuống và kích hoạt các tải trọng độc hại khác, bao gồm:
- Mã độc đánh cắp thông tin viết bằng Python
- Tệp svchost.exe giả mạo (thực chất là một phiên bản đã chỉnh sửa của python.exe) nhằm tránh bị phát hiện
- Công cụ trích xuất dữ liệu, nhắm vào cookie trình duyệt, thông tin đăng nhập, ví tiền mã hóa và tệp cá nhân
- Phát tán qua mạng xã hội: Kẻ tấn công sử dụng mạng xã hội để quảng bá các trình cài đặt DeepSeek giả mạo, với một số bài đăng trên X (trước đây là Twitter) thu hút hơn 1,2 triệu lượt xem, chủ yếu thông qua các bot tự động.
* Các chuyên gia ANM khuyến cáo người dùng:
- Xác minh nguồn tải xuống và nguồn gốc của các phần mềm: Chỉ tải phần mềm từ trang web chính thức của DeepSeek và tránh các liên kết không rõ nguồn gốc.
- Cảnh giác với trang web giả mạo: Kiểm tra kỹ URL của trang web trước khi tải xuống hoặc cung cấp thông tin cá nhân.
- Sử dụng phần mềm bảo mật: Cài đặt và cập nhật thường xuyên các phần mềm chống mã độc để bảo vệ thiết bị khỏi các mối đe dọa tiềm ẩn.
- Nâng cao nhận thức về các chiến thuật lừa đảo sử dụng AI: Thường xuyên cập nhật thông tin về các phương thức tấn công mới và đào tạo người dùng về cách nhận biết và phòng tránh các mối đe dọa trực tuyến.
Theo Security Online