BrowserVenom’ on puhdasta myrkkyä.
Epäillyt verkkorikolliset ovat luoneet väärennetyn asennusohjelman kiinalaiselle tekoälymallille DeepSeek-R1 ja ladanneet siihen aiemmin tuntemattoman haittaohjelman nimeltä “BrowserVenom”.
Haittaohjelman nimi kuvastaa sen kykyä ohjata kaikki selainten liikenne hyökkääjän hallitseman palvelimen kautta.
Näin huijarit voivat varastaa tietoja, valvoa selaustoimintaa ja mahdollisesti paljastaa selkokielisen liikenteen. Verkkosivustojen tunnistetiedot, istunnon evästeet, rahoitustilitiedot sekä arkaluontoiset sähköpostit ja asiakirjat ovat siis kaikki vaarassa – juuri sellaisia tietoja, joita huijarit etsivät voidakseen tehdä digitaalisia petoksia ja/tai myydä niitä muille rikollisille.
Tähän mennessä haittaohjelma on saastuttanut useita tietokoneita Brasiliassa, Kuubassa, Meksikossa, Intiassa, Nepalissa, Etelä-Afrikassa ja Egyptissä. Kaspersky, joka havaitsi phishing-kampanjan, joka levittää haittaohjelmaa lähettämällä uhrit väärennetylle verkkosivustolle, joka muistuttaa todellista DeepSeekin kotisivua, sanoi, että haittaohjelma on edelleen “maailmanlaajuinen uhka”.
Vaikka tässä kampanjassa käytetty haittaohjelma on uusi, taktiikka, jossa käytetään kiinnostusta tekoälyyn ikävien hyötykuormien levittämiseen, on yhä yleisempi.
Tällaisissa kampanjoissa käytetään phishing-sivustoja, joiden verkkotunnukset poikkeavat hieman todellisten tekoälytoimittajien ylläpitämistä sivustoista, ja rikolliset käyttävät haitallisia mainoksia ja muita taktiikoita, jotta ne näkyvät näkyvästi hakukoneiden tuloksissa. Mutta luvatun chatbotin tai tekoälytyökalun sijaan ne tartuttavat tietämättömille uhreille kaikenlaista luottotietoja ja lompakoita varastavista haittaohjelmista aina ransomware- ja Windows-korjauskoodiin.
Tässä kampanjassa käytettiin URL-osoitetta https[:]//deepseek-platform[.]com.
Rikolliset mainostivat tätä osoitetta monille potentiaalisille uhreille ostamalla mainoksia Googlelta, joten se näkyi ykköstuloksena, kun käyttäjät hakivat hakusanalla “deepseek r1”.
Google sanoo, että se on poistanut hyökkäysmainokset. “Ennen tämän raportin julkaisemista havaitsimme tämän haittaohjelmakampanjan ja keskeytimme mainostajan tilin”, Googlen tiedottaja kertoi The Registerille.
Kun Windows-käyttäjät pääsevät sivustolle, se kehottaa heitä napsauttamaan painiketta, jossa lukee “Kokeile nyt”. Kaspersky havaitsi, että muiden alustojen käyttäjille näytetään samalla tavalla harhaanjohtavia painikkeita, joiden sanamuoto on erilainen.
Napin napsauttaminen vie käyttäjän CAPTCHA-ruudulle, joka antaa sivustolle laillisuuden vaikutelman. Sivu sisältää myös piilotetun JavaScriptin, jolla tarkistetaan, ettei käyttäjä ole botti, jotta huijarit tietävät, että he ovat löytäneet ihmisen, johon kannattaa iskeä.
Kun uhri on ratkaissut CAPTCHA-koodin, hänet ohjataan lataussivulle, jossa on “Lataa nyt” -painike. Sitä napsauttamalla ladataan haitallinen asennusohjelma, AI_Launcher_1.21.exe, tästä verkkotunnuksesta: https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe.
Kasperskyn mukaan huijareiden sivuston koodi sisältää venäjänkielisiä kommentteja, mikä viittaa siihen, että he puhuvat venäjää. Tietoturvayhtiö ei kuitenkaan ole yhdistänyt tätä kampanjaa tiettyyn tietoverkkorikollisryhmään tai henkilöön.
Kun asennusohjelma suoritetaan, se avaa toisen ikkunan, joka jäljittelee Cloudflare CAPTCHA:ta (joka on myös väärennös), joka jälleen kerran varmistaa, että uhri on ihminen. Seuraavaksi haittaohjelma ohjaa käyttäjän näytölle, jossa käyttäjälle tarjotaan mahdollisuus ladata ja asentaa joko Ollama tai LM Studio, jolla DeepSeek voidaan suorittaa. Ei ole väliä, kumpaa he klikkaavat: kumpikin käynnistää BrowserVenom-tartunnan.
Kun haittaohjelma suoritetaan, se tarkistaa ensin, onko käyttäjällä järjestelmänvalvojan oikeudet. Jos ei, haittaohjelma pysähtyy.
Niille, jotka katsotaan tartunnan arvoisiksi, BrowserVenom asentaa hyökkääjän luoman kovakoodatun varmenteen, mikä antaa rikollisille pysyvän pääsyn ja mahdollistaa liikenteen sieppaamisen.
BrowserVenom lisää myös kovakoodatun välityspalvelimen osoitteen kaikkiin tällä hetkellä asennettuihin ja käytössä oleviin selaimiin, minkä ansiosta sen käyttäjät voivat myös seurata uhrien liikennettä.
Sitten he ryhtyvät ilkeisiin toimiinsa.