Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили фишинговый ресурс, имитирующий официальный сайт DeepSeek, где предлагается скачать модель DeepSeek-R1 для ПК. Однако на самом деле под видом приложения для Windows распространяется новая зловредная программа, которая перехватывает трафик жертвы и следит за её активностью в сети. Специалисты назвали троянец BrowserVenom. С вредоносной кампанией столкнулись пользователи в разных странах: Бразилии, Мексике, Индии, Непале, Южной Африке, Египте, на Кубе.

Поддельный сайт DeepSeek. Злоумышленники продвигают фишинговый ресурс через рекламу в поисковой выдаче. Пользователи рискуют столкнуться с подделкой, когда пытаются найти в интернете «deepseek r1». Как только человек заходит на фальшивую страницу, запускается автоматическая проверка операционной системы его ПК. Если это Windows, то на экране появляется кнопка «Попробовать сейчас».

Троянец BrowserVenom. Если человек кликнет на кнопку, он скачает вредоносный установщик с названием AI_Launcher_1.21.exe. Затем ему будет предложено загрузить на выбор один из легитимных инструментов — Ollama или LM Studio — для локального запуска DeepSeek на Windows. Пользователь действительно получит доступ к нейросети, однако на его устройство также проникнет BrowserVenom. Троянец устанавливает вредоносный сертификат в хранилище сертификатов и настраивает браузеры на заражённом компьютере на принудительное использование прокси-сервера злоумышленников. Таким образом они могут собирать конфиденциальные данные жертвы и отслеживать её активность в интернете, расшифровывая трафик.