Специалисты «Лаборатории Касперского»
Ссылка скрыта от гостей
серию кибератак, в ходе которых злоумышленники распространяли вредоносные программы через поддельные сайты, имитирующие популярные нейросети, такие как DeepSeek и Grok. Фейковые ресурсы активно продвигались через социальную сеть X (ранее Twitter), а их жертвами стали пользователи из разных стран, включая Россию.Первая группа мошеннических сайтов предлагала пользователям скачать якобы клиент DeepSeek (версии V3 и R1). Однако вместо функционала нейросети жертвам загружался стилер — вредоносная программа, способная похищать данные из браузеров (cookie, сессии), логины и пароли от почтовых аккаунтов, игровых сервисов и криптокошельков. Позже злоумышленники сменили приманку, начав использовать имя нейросети Grok, но схема распространения осталась прежней.
Вторая группа поддельных ресурсов применяла географическое ограничение: пользователям из России показывалась заглушка, а посетителям из Европы — страница, имитирующая сайт DeepSeek, с предложением скачать программу или запустить чат-бот. В обоих случаях при взаимодействии с сайтом загружался вредоносный инсталлятор, который запускал PowerShell-скрипт, предоставляющий злоумышленникам доступ к компьютеру жертвы.
Третья группа сайтов была нацелена на продвинутых пользователей. Здесь вредоносное ПО маскировалось под фреймворк Ollama, предназначенный для локального запуска крупных языковых моделей, таких как DeepSeek. Вместо заявленного инструмента жертвы устанавливали бэкдор, который позволял злоумышленникам получать удалённый доступ к их устройствам.
Эксперты рекомендуют пользователям быть осторожными при переходе по ссылкам из непроверенных источников и скачивать программы только с официальных сайтов.