Gli esperti di sicurezza informatica di Kaspersky GReAT hanno rilevato una nuova campagna malevola di trojan. Questa campagna viene diffusa tramite una falsa applicazione che imita quella ufficiale di DeepSeek, il recente LLM AI cinese disponibile da alcuni mesi, nascondendo al suo interno un pericoloso malware. Il nome di questa app è “DeepSeek-R1 Large Language Model (LLM)”.
“Gli utenti venivano indirizzati a un sito di phishing che imitava l’indirizzo della piattaforma DeepSeek originale tramite Google Ads, con il link visualizzato nell’annuncio quando un utente cercava ‘deepseek r1’. Quando la vittima accedeva al sito falso, veniva eseguito un controllo per identificare il sistema operativo. Se si trattava di Windows, l’utente visualizzava un pulsante per scaricare gli strumenti per lavorare con l’LLM offline“, hanno spiegato i ricercatori nel recente comunicato stampa.
Come avviene l’infezione? “Una volta che l’utente accedeva al sito e superava il test CAPTCHA – continuano i ricercatori – veniva scaricato nel suo PC un file di installazione dannoso per scaricare e installare Ollama o LM Studio. Se veniva scelta una delle due opzioni, oltre ai programmi di installazione legittimi di Ollama o LM Studio veniva installato anche il malware nel sistema aggirando la protezione di Windows Defender con un algoritmo speciale“.
DeepSeek sfruttato per diffondere un pericoloso malware
Che i cybercriminali sfruttino la diffusione di qualsiasi cosa per diffondere minacce capaci di rubare l’identità digitale delle vittime è ormai assodato. Era solo questione di poco tempo prima che anche DeepSeek diventasse un ottimo aggancio per infettare i dispositivi degli utenti con un pericoloso malware.
Lisandro Ubiedo, Security Researcher di Kaspersky GReAT, in merito a questa minaccia ha spiegato: “Se da un lato l’esecuzione offline di Large Language Models offre vantaggi in termini di privacy e riduce la dipendenza dai servizi cloud, dall’altro può comportare rischi significativi se non si adottano le dovute precauzioni. I cybercriminali sfruttano sempre più la popolarità dei tool open-source di AI, distribuendo pacchetti malevoli e programmi di installazione falsi che possono installare di nascosto keylogger, cryptominer o infostealer. Questi strumenti mettono a rischio i dati sensibili degli utenti e rappresentano una minaccia soprattutto quando vengono scaricati da fonti non verificate“.
Consigli per evitare l’infezione
Come puoi evitare l’infezioni di malware nascosti in app apparentemente ufficiali come il caso di DeepSeek? Gli esperti di Kaspersky consigliano di controllare sempre gli indirizzi dei siti web per verificarne l’autenticità. Inoltre, è bene scaricare strumenti LLM offline solo da fonti ufficiali.
Infine, è importante verificare che i risultati delle ricerche online siano legittimi ed evitare di usare Windows con un profilo dotato di privilegi di amministratore.
