Kaspersky Küresel Araştırma ve Tahlil Takımları (GReAT), bilgisayarlar için uydurma ‘DeepSeek R1 Büyük Lisan Modeli’ (LLM) uygulaması aracılığıyla Truva atı dağıtan yeni bir makus hedefli kampanya keşfettiğini duyurdu.
Şirketten yapılan açıklamaya nazaran, DeepSeek, Ollama yahut LM Studio üzere araçlar, bilgisayarlarda çevrim dışı çalıştırılabiliyor ve saldırganlar kampanyalarında bundan faydalanıyor.
PLATFORM ADRESİNİ TAKLİT EDEN BİR SİTEYE YÖNLENDİRİYOR
Kullanıcılar, evvel Google reklamları aracılığıyla yepyeni DeepSeek platformunun adresini taklit eden bir kimlik avı sitesine yönlendiriliyor.
Kullanıcı ‘deepseek r1’ araması yaptığında tuzak ilişkisi tarafından reklamda gösteriliyor.
Kullanıcı uydurma DeepSeek sitesine ulaştığında, işletim sistemini belirlemek için bir denetim yapılıyor.
Eğer işletim sistemi Windows ise kullanıcıya LLM ile çevrim dışı çalışmaya yönelik araçları indirmek için bir seçenek sunuluyor.
ÖZEL BİR ALGORİTMA İLE SİSTEME YÜKLENİYOR
Her iki seçenek de seçildiğinde, yasal Ollama yahut LM Studio yükleyicileriyle birlikte makûs maksatlı yazılım Windows Defender’ın müdafaasını özel bir algoritma ile atlayarak sisteme yükleniyor.
Bu prosedür Windows’taki kullanıcı profili için yönetici ayrıcalıkları gerektiriyor. Windows’taki kullanıcı profili bu ayrıcalıklara sahip değilse, bulaşma gerçekleşmiyor.
HASSAS TARAMA BİLGİLERİ GÖZETLENİYOR
Kötü gayeli yazılım yüklendikten sonra, sistemdeki tüm internet tarayıcıları saldırganlar tarafından denetim edilen bir ‘proxy’yi zorla kullanacak biçimde yapılandırarak hassas tarama bilgilerini gözetlenmesi ve tarama aktifliğinin izlenmesi sağlanıyor.
Kaspersky araştırmacıları, zorlayıcı yapısı ve makus niyetli maksadı nedeniyle bu ziyanlı yazılımı ‘BrowserVenom’ olarak isimlendiriyor.
SİBER GÜVENLİK TAHLİLLERİ ÖNERİLİYOR
Şirket bu üzere tehditlerden korunulması için, bu tehditlerin gerçek olduklarını doğrulamayı ve dolandırıcılıktan kaçınmak için internet sitelerinin adreslerinin denetim edilmesini, çevrim dışı LLM araçlarını sadece resmi kaynaklardan indirilmesini, Windows’u yönetici ayrıcalıklarına sahip bir profilde kullanmaktan kaçınılmasını, makûs maksatlı evrakların açılmasını önlemek için muteber siber güvenlik tahlilleri kullanılmasını öneriyor.
KULLANICININ HASSAS BİLGİLERİNİ TEHLİKEYE ATIYOR
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Tahlil Takımı Güvenlik Araştırmacısı Lisandro Ubiedo, büyük lisan modellerini çevrim dışı çalıştırmanın saklılık avantajları sunduğunu ve bulut hizmetlerine olan bağımlılığı azalttığını belirtti.
Ubiedo, uygun tedbirler alınmadığında bu modellerin kıymetli riskleri de beraberinde getirebildiğini vurgulayarak, şu sözleri kullandı:
Siber hatalılar tuş kaydedicileri, kripto madencileri yahut bilgi hırsızlarını gizlice yükleyebilen berbat maksatlı paketler ve uydurma yükleyiciler dağıtarak açık kaynaklı yapay zeka araçlarının popülerliğini giderek daha fazla istismar ediyor.
Bu uydurma araçlar, bilhassa kullanıcılar bunları doğrulanmamış kaynaklardan indirdiğinde, kullanıcının hassas datalarını tehlikeye atıyor ve tehdit oluşturuyor.
