رصد فريق كاسبرسكي للبحث والتحليل العالمي حملة إلكترونية خبيثة جديدة تنشر برنامج حصان طروادة متنكرًا في هيئة تطبيق مزيف للنموذج اللغوي الكبير DeepSeek-R1 المخصص لأجهزة الحاسوب. تنتقل البرمجية عبر موقع تصيد احتيالي يحاكي الصفحة الرسمية لـDeepSeek، ويتم الترويج له عبر إعلانات غوغل. وتستهدف الهجمات تثبيت برمجية خبيثة تُعرف باسم BrowserVenom، تعمل على إعادة ضبط إعدادات متصفحات الإنترنت لتمرير حركة البيانات عبر خوادم المهاجمين، ما يتيح لهم سرقة بيانات تسجيل الدخول ومعلومات المستخدم الحساسة. وقد سُجلت إصابات في كل من البرازيل وكوبا والمكسيك والهند ونيبال وجنوب إفريقيا ومصر.
انتحال وترويج خادع
يعتمد المهاجمون على محاكاة واجهة منصة DeepSeek الحقيقية، ويظهر الموقع المزيف ضمن نتائج البحث المدفوعة عندما يبحث المستخدمون عن “DeepSeek-R1”. يقوم الموقع الخبيث بتحديد نظام التشغيل على جهاز المستخدم، ويعرض خيار تحميل الأدوات اللازمة لتشغيل النموذج دون اتصال بالإنترنت، في حال اكتشاف استخدام نظام ويندوز. ولم تُستهدف الأنظمة الأخرى خلال فترة تحليل الحملة.
تحميل مزيف وتثبيت مزدوج
بعد تخطي اختبار CAPTCHA في الموقع المزيف، يُحمّل ملف تثبيت خبيث يدّعي تثبيت برامج Ollama أو LM Studio، وهما أدوات حقيقية لتشغيل النماذج اللغوية. إلا أن البرمجية الخبيثة تُثبت نفسها إلى جانب تلك البرامج المشروعة، مستخدمة خوارزميات خاصة لتجاوز Windows Defender. وتشترط العملية وجود صلاحيات المدير في حساب المستخدم، مما يعوق تثبيت البرنامج في حال غياب هذه الصلاحيات.
خادم وكيل خبيث
تقوم البرمجية، بعد التثبيت، بتعديل إعدادات متصفحات الويب لاستخدام خادم وكيل يسيطر عليه المهاجمون، ما يتيح لهم مراقبة بيانات الضحية واعتراض معلومات حساسة. وقد أطلق عليها فريق كاسبرسكي اسم BrowserVenom نظرًا لطبيعتها التخريبية المقصودة، إذ تتصرف بطريقة إلزامية لضبط إعدادات النظام دون علم المستخدم.
استغلال أدوات الذكاء
قال ليساندرو أوبيدو، الباحث الأمني لدى كاسبرسكي: “رغم أن تشغيل النماذج اللغوية الكبيرة محليًا بدون إنترنت يوفر خصوصية أكبر، إلا أنه يحمل مخاطر أمنية كبيرة إذا لم تُتخذ الاحتياطات اللازمة”. وأوضح أن أدوات الذكاء الاصطناعي مفتوحة المصدر تشهد استغلالًا متزايدًا من قبل مجرمي الإنترنت، إذ تُستخدم لنشر برمجيات خبيثة مثل مسجلات ضربات المفاتيح ومعدّني العملات وسارقي البيانات.
نصائح للحماية
وقدمت كاسبرسكي مجموعة من التوصيات لتفادي هذه التهديدات، أبرزها:
- التحقق الدقيق من عناوين المواقع الإلكترونية.
- تنزيل أدوات النماذج اللغوية من مواقعها الرسمية فقط (مثل ollama.com وlmstudio.ai).
- تجنّب استخدام حسابات ويندوز بصلاحيات المدير.
- الاعتماد على حلول أمن سيبراني موثوقة للكشف عن التهديدات ومنع تشغيل الملفات الخبيثة.
الرابط المختصر: https://propertypluseg.com/?p=143770
