Cybercriminelen misbruiken DeepSeek om malware te verspreiden

Cybercriminelen maken nep-websites die lijken op DeepSeek om gebruikers te misleiden en malware te verspreiden. De malwarecampagne gebruikt een neppe CAPTCHA-pagina, waarbij een PowerShell-opdracht wordt gekopieerd naar het klembord van de gebruiker, met als gevolg de uitvoering van de Vidar-malware of het stelen van gegevens.

Het is cruciaal voor organisaties om goed gedefinieerde beleidsregels en beveiligingscontroles te implementeren die het gebruik van generatieve AI-modellen en -tools in hun omgeving regelen.

DeepSeek werd geïntroduceerd op 20 januari 2025 en kreeg snel internationale aandacht. Hierdoor werd het een belangrijk doelwit voor misbruik. Al gauw zagen we frauduleuze imitaties van DeepSeek die nietsvermoedende gebruikers misleidden om gevoelige gegevens te stelen en/of schadelijke malware uit te voeren. Zscaler ThreatLabz onderzocht hoe deze nep-DeepSeek-websites werken en welk gevaar ze vormen voor organisaties en gebruikers.

Nep-DeepSeek-websites

ThreatLabz heeft talloze domeinen geïdentificeerd die gebruikmaken van de populariteit van DeepSeek en de officiële website en gelieerde websites imiteren. Deze frauduleuze domeinen worden gebruikt om verschillende kwaadaardige activiteiten te faciliteren, waaronder cryptocurrency pump-and-dump-schema’s, het hosten van nepforums die zijn ontworpen om gegevens te stelen, valse cadeaubonfraude en nep-goksites.

Nieuw geregistreerde domeinen zijn vaak een rode vlag voor kwaadaardige activiteiten. ThreatLabz registreerde vorig jaar een toename van 400+% in gecodeerde aanvallen vanaf nieuw geregistreerde domeinen. Deze timing wijst erop dat de cybercriminelen achter de nep-DeepSeek-website proberen te profiteren van de aandacht en impact die DeepSeek in verschillende sectoren heeft gegenereerd.

De aanvalsketen

De malwarecampagne begint met aanvallers die een nepdomein maken dat DeepSeek nabootst. Deze nep-website vraagt bezoekers om een registratieproces te voltooien en stuurt ze door naar een nep-CAPTCHA-pagina.

Zodra de gebruiker op de checkbox ‘ik ben geen robot’ klikt, kopieert JavaScript automatisch schadelijke code naar het klembord van de gebruiker en vraagt hen om een opdracht uit te voeren. Als de gebruiker deze PowerShell-opdracht uitvoert, wordt een gecomprimeerd Vidar-executable gedownload en uitgevoerd.

Zodra Vidar-malware op het systeem van het slachtoffer wordt uitgevoerd, start het met zijn primaire doel: het verzamelen van gevoelige gegevens. Deze gegevens omvatten gebruikersreferenties, cryptocurrency wallet-informatie, browsercookies en persoonlijke bestanden.

Conclusie

De populariteit van DeepSeek en de snelheid waarmee cybercriminelen het inzetten om lookalike-domeinen te maken, benadrukt hoe gevoelig AI-technologie kan zijn. Hoewel AI een geweldig hulpmiddel is voor productiviteit, biedt het ook meer mogelijkheden voor misbruik door cybercriminelen. Bovendien stelt de verspreiding van AI cybercriminelen in staat om geavanceerdere en effectievere aanvallen uit te voeren.

Nu de acceptatie van AI blijft toenemen, moeten organisaties waakzaam blijven en hun verdediging aanscherpen om misbruik van AI-technologie te voorkomen. Zscaler ThreatLabz blijft zich inzetten om deze dreigingen te ontdekken en te bestrijden.

Lees hier de volledige technische analyse van deze campagne.