СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
26.02.2025
#Dev#ИБ#ИИ

Хакеры маскируют вредоносное ПО под ИИ-модель DeepSeek для macOS

Хакеры маскируют вредоносное ПО под ИИ-модель DeepSeek для macOS

Специалисты eSentire выявили в сети несколько поддельных платформ, предназначенных для распространения стилера Poseidon под видом приложения DeepSeek с технологиями искусственного интеллекта. Попадание пользователей на эти ресурсы происходит через перенаправления и вредоносную рекламу.

Эксперты отметили, что мошеннические страницы визуально не отличаются от оригинального сайта разработчиков DeepSeek. При нажатии на кнопку «Start Now» («Начать») происходит редирект на страницу загрузки, где выбор версии для macOS ведёт к скачиванию вредоносного файла DMG с другого домена.

Открытие загруженного файла сопровождается появлением окна с инструкцией, якобы объясняющей установку приложения. На деле же пользователь запускает через «Терминал» код, который активирует трояна. Благодаря этой схеме вредоносное ПО проникает в систему, обходя защитные механизмы macOS, включая GateKeeper.

Другие фальшивые сайты DeepSeek применяют альтернативную тактику, используя всплывающие окна в стиле ClickFix для заманивания жертв.

Poseidon Stealer распространяется через хакерские форумы и Telegram как MaaS (Malware-as-a-Service). Этот троян собирает данные из браузеров, работающих на базе Chromium и Firefox, а также похищает файлы из папки Telegram.

В его интересах – документы и файлы на Рабочем столе, в загрузках и других каталогах (.txt, .pdf, .doc, .docx, .key, .keys, .wallet). Кроме того, он нацелен на извлечение базы данных Keychain. Чтобы получить доступ к паролю пользователя macOS, вредонос выводит диалоговое окно, в котором данные проверяются на достоверность. Если введённый пароль неверен, запрос повторяется.

Исследователи отметили, что обнаруженные образцы Poseidon могут избегать запуска в режиме отладки и внутри песочницы, а также используют построчное шифрование для усложнения анализа.

Ранее стало известно, что продвинутые языковые модели DeepSeek и Alibaba вызвали интерес не только у специалистов по искусственному интеллекту, но и у киберпреступников. Сергей Шикевич, руководитель группы анализа угроз в Check Point, подчеркнул, что преступные группировки активно изучают китайские LLM, стремясь адаптировать их для разработки и совершенствования вредоносных программ.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: