ANKARA-BHA
Kaspersky Global Araştırma ve Analiz Ekipleri (GReAT), bilgisayar kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Açıklamaya göre, sahte “DeepSeek R1 Büyük Dil Modeli” (LLM) uygulaması aracılığıyla Truva atı bulaştıran yazılım, kullanıcıların kişisel verilerini riske atıyor.
DeepSeek, Ollama ve LM Studio gibi çevrim dışı yapay zeka araçlarını taklit eden bu sahte yazılım, Google reklamları aracılığıyla orijinal platformu taklit eden kimlik avı sitelerine yönlendirme yapıyor. Kullanıcılar “deepseek r1” aramasını yaptığında, sahte bir bağlantıya tıklayarak tuzağa düşüyor.
Sahte siteye girişte, kullanıcının işletim sistemi tespit ediliyor. Windows işletim sistemi kullanılıyorsa, çevrim dışı LLM aracı indirme seçeneği sunuluyor. CAPTCHA doğrulamasından sonra kullanıcıya Ollama veya LM Studio’yu indirmeye yönlendiren bir yükleyici dosyası sunuluyor. Bu süreçte kötü amaçlı yazılım, Windows Defender korumasını özel bir algoritmayla aşarak sisteme entegre oluyor. Ancak bu işlem yalnızca yönetici ayrıcalıklarına sahip Windows profillerinde gerçekleşebiliyor.
Yazılım bulaştıktan sonra, sistemdeki tüm tarayıcılar saldırganların kontrolündeki bir proxy'ye yönlendirilerek kullanıcıların tarama etkinlikleri izleniyor. Kaspersky uzmanları, bu kötü amaçlı yazılımı “BrowserVenom” olarak adlandırıyor.
Şirket, bu tür tehditlerden korunmak için çevrim dışı LLM araçlarının yalnızca resmi kaynaklardan indirilmesini, sahte bağlantıların dikkatle ayırt edilmesini ve güvenilir siber güvenlik çözümleri kullanılmasını öneriyor.
Kaspersky Güvenlik Araştırmacısı Lisandro Ubiedo, büyük dil modellerinin çevrim dışı kullanımının gizlilik açısından avantaj sağladığını belirtirken, uygun önlemler alınmadığında ciddi güvenlik riskleri oluşturabileceğini vurguladı. Ubiedo, “Siber suçlular, tuş kaydediciler, bilgi hırsızları ve kripto madencileri içeren sahte yükleyicilerle açık kaynak yapay zeka araçlarının yaygınlığını kötüye kullanıyor,” değerlendirmesinde bulundu.