Kaspersky Global Araştırma ve Analiz Ekipleri (GReAT), bilgisayar kullanıcılarını hedef alan yeni bir kötü amaçlı kampanya tespit etti. Bu kampanya, sahte ‘DeepSeek R1 Büyük Dil Modeli’ (LLM) uygulaması aracılığıyla Truva atı dağıtımı gerçekleştirmektedir.
Şirketin açıklamasına göre, DeepSeek gibi araçların (Ollama ve LM Studio gibi) bilgisayarlarda çevrimdışı olarak çalıştırılabilmesi, saldırganlar tarafından bu kampanya için bir avantaj olarak kullanılıyor.
PLATFORMUN KOPYASINA YÖNLENDİRİYOR
Kullanıcılar, Google reklamları aracılığıyla orijinal DeepSeek platformunun adresini taklit eden sahte bir kimlik avı sitesine yönlendiriliyor. Kullanıcılar, ‘deepseek r1’ araması yaptıklarında tuzak bağlantısı üzerinden reklamda bu sahte siteyi görüyorlar.
Sahte DeepSeek sitesine ulaştıklarında, sistemin işletim sistemi tespit ediliyor. Eğer işletim sistemi Windows ise, kullanıcıya LLM ile çevrimdışı çalışma aracı indirme seçeneği sunuluyor.
KÖTÜ AMAÇLI YAZILIMIN İNDİRİLMESİ
Kullanıcı düğmeye tıkladığında ve ‘CAPTCHA’ testini geçtikten sonra, kötü amaçlı bir yükleyici dosyasının indirilmesi gerçekleşiyor. Kullanıcıya Ollama veya LM Studio’yu indirme ve yükleme seçenekleri sunulmaktadır.
Bu seçeneklerden herhangi biri seçildiğinde, yasal Ollama veya LM Studio yükleyicileriyle birlikte kötü amaçlı yazılım, Windows Defender’ın korumasını aşan özel bir algoritma sayesinde sisteme yükleniyor. Bu işlem, Windows’taki kullanıcı profili için yönetici ayrıcalıkları gerektiriyor; eğer bu ayrıcalıklara sahip değilse bulaşma gerçekleşmiyor.
GÖZETİM ALTINA ALMA
Kötü amaçlı yazılım kurulduktan sonra, sistemdeki tüm internet tarayıcıları, saldırganlar tarafından kontrol edilen bir ‘proxy’ ile yapılandırılıyor. Bu yöntemle hassas tarama verilerinin gözlemlenmesi ve tarama faaliyetlerinin izlenmesi sağlanıyor. Kaspersky araştırmacıları, bu zararlı yazılımı ‘BrowserVenom’ olarak adlandırmıştır.
SİBER GÜVENLİK ÖNERİLERİ
Şirket, benzer tehditlerden korunmak için çeşitli önlemler öneriyor. Kullanıcıların, bu tür tehditlerin gerçek olup olmadığını doğrulamaları, internet adreslerini dikkatlice kontrol etmeleri ve çevrimdışı LLM araçlarını yalnızca resmi kaynaklardan indirmeleri gerekiyor. Ayrıca, Windows’un yönetici ayrıcalıklarına sahip bir profilde kullanılmaması ve güvenilir siber güvenlik çözümlerinin tercih edilmesi de önem taşıyor.
HASSAS VERİLERİN RİSK ALTINDA
Kaspersky Güvenlik Araştırmacısı Lisandro Ubiedo, büyük dil modellerinin çevrimdışı çalıştırılmasının gizlilik avantajları sunduğunu ifade etti. Ancak uygun önlemler alınmadığında, bu modellerin ciddi riskler oluşturabileceği uyarısında bulundu.
Ubiedo, siber suçluların açık kaynak yapay zeka araçlarının popülerliğinden faydalandığını, tuş kaydediciler, kripto madencileri ya da bilgi hırsızları barındıran kötü amaçlı paketleri yayarak tehdidi artırdığını belirtti. Bu tür sahte araçların, özellikle doğrulanmamış kaynaklardan indirildiğinde, kullanıcıların hassas verilerini tehlikeye attığını vurguladı.
