İSTANBUL (AA) - Kaspersky Global Araştırma ve Analiz Ekipleri (GReAT), bilgisayarlar için sahte "DeepSeek R1 Büyük Dil Modeli" (LLM) uygulaması aracılığıyla Truva atı dağıtan yeni bir kötü amaçlı kampanya keşfettiğini duyurdu.
Şirketten yapılan açıklamaya göre, DeepSeek, Ollama veya LM Studio gibi araçlar, bilgisayarlarda çevrim dışı çalıştırılabiliyor ve saldırganlar kampanyalarında bundan faydalanıyor.
Kullanıcılar önce Google reklamları aracılığıyla orijinal DeepSeek platformunun adresini taklit eden bir kimlik avı sitesine yönlendiriliyor. Kullanıcı "deepseek r1" araması yaptığında tuzak bağlantısı tarafından reklamda gösteriliyor.
Kullanıcı sahte DeepSeek sitesine ulaştığında, işletim sistemini belirlemek için bir kontrol yapılıyor. Eğer işletim sistemi Windows ise kullanıcıya LLM ile çevrim dışı çalışmaya yönelik araçları indirmek için bir seçenek sunuluyor.
Düğmeye tıklayıp "CAPTCHA" testini geçtikten sonra, kötü amaçlı bir yükleyici dosyası indiriliyor ve kullanıcıya Ollama veya LM Studio'yu indirme ve yükleme seçenekleri sunuluyor.
- Kullanıcı profili yönetici ayrıcalıklarna sahip değilse bulaşma gerçekleşmiyor
Her iki seçenek de seçildiğinde, yasal Ollama veya LM Studio yükleyicileriyle birlikte kötü amaçlı yazılım Windows Defender'ın korumasını özel bir algoritma ile atlayarak sisteme yükleniyor.
Bu prosedür Windows'taki kullanıcı profili için yönetici ayrıcalıkları gerektiriyor. Windows'taki kullanıcı profili bu ayrıcalıklara sahip değilse, bulaşma gerçekleşmiyor.
Kötü amaçlı yazılım yüklendikten sonra, sistemdeki tüm internet tarayıcıları saldırganlar tarafından kontrol edilen bir "proxy"yi zorla kullanacak şekilde yapılandırarak hassas tarama verilerini gözetlenmesi ve tarama etkinliğinin izlenmesi sağlanıyor.
Kaspersky araştırmacıları, zorlayıcı yapısı ve kötü niyetli amacı nedeniyle bu zararlı yazılımı "BrowserVenom" olarak adlandırıyor.
Şirket bu gibi tehditlerden korunulması için, bu tehditlerin gerçek olduklarını doğrulamayı ve dolandırıcılıktan kaçınmak için internet sitelerinin adreslerinin kontrol edilmesini, çevrim dışı LLM araçlarını yalnızca resmi kaynaklardan indirilmesini, Windows'u yönetici ayrıcalıklarına sahip bir profilde kullanmaktan kaçınılmasını, kötü amaçlı dosyaların açılmasını önlemek için güvenilir siber güvenlik çözümleri kullanılmasını öneriyor.
- "Kullanıcının hassas verilerini tehlikeye atıyor ve tehdit oluşturuyor"
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Lisandro Ubiedo, büyük dil modellerini çevrim dışı çalıştırmanın gizlilik avantajları sunduğunu ve bulut hizmetlerine olan bağımlılığı azalttığını belirtti.
Ubiedo, uygun önlemler alınmadığında bu modellerin önemli riskleri de beraberinde getirebildiğini vurgulayarak, "Siber suçlular tuş kaydedicileri, kripto madencileri veya bilgi hırsızlarını gizlice yükleyebilen kötü amaçlı paketler ve sahte yükleyiciler dağıtarak açık kaynaklı yapay zeka araçlarının popülerliğini giderek daha fazla istismar ediyor. Bu sahte araçlar, özellikle kullanıcılar bunları doğrulanmamış kaynaklardan indirdiğinde, kullanıcının hassas verilerini tehlikeye atıyor ve tehdit oluşturuyor." ifadelerini kullandı.