Duy Linh
Writer
Phần mềm độc hại ngụy trang dưới công cụ AI phổ biến để chiếm quyền trình duyệt
Các chuyên gia thuộc Nhóm nghiên cứu và phân tích toàn cầu Kaspersky vừa phát hiện một chiến dịch tấn công mạng mới, trong đó kẻ xấu lợi dụng sự phổ biến của DeepSeek-R1, một mô hình ngôn ngữ lớn (LLM), để phát tán mã độc.
Chiến dịch này sử dụng một trang web giả mạo DeepSeek chính thức, được quảng cáo qua Google Ads. Khi người dùng tìm kiếm từ khóa “deepseek r1” và nhấp vào quảng cáo, họ sẽ bị chuyển hướng đến trang giả mạo.
Tại đây, hệ thống sẽ kiểm tra hệ điều hành của người dùng. Nếu thiết bị chạy Windows, một nút tải xuống sẽ xuất hiện, cho phép tải về công cụ dùng LLM ngoại tuyến. Tuy nhiên, thay vì nhận được phần mềm chính hãng, người dùng lại tải về một file cài đặt độc hại.
Tập tin độc hại này giả mạo là trình cài đặt của Ollama hoặc LM Studio – hai công cụ phổ biến dùng để chạy LLM ngoại tuyến. Dù vẫn đi kèm phần mềm hợp pháp, file độc hại sẽ lén cài đặt mã độc tên là BrowserVenom vào máy tính. Mã độc này qua mặt Windows Defender nhờ một thuật toán tinh vi và chỉ có thể hoạt động nếu tài khoản người dùng có quyền quản trị viên.
Một khi được cài vào hệ thống, BrowserVenom sẽ cấu hình lại toàn bộ trình duyệt web trên máy để sử dụng proxy do kẻ tấn công kiểm soát. Điều này cho phép chúng theo dõi, thu thập dữ liệu người dùng, bao gồm thông tin đăng nhập, hoạt động duyệt web và dữ liệu cá nhân nhạy cảm.
Theo Kaspersky, các nạn nhân đã được ghi nhận tại Brazil, Cuba, Mexico, Ấn Độ, Nepal, Nam Phi và Ai Cập.
DeepSeek-R1 hiện là một trong những LLM phổ biến nhất, đặc biệt khi nó có thể hoạt động ngoại tuyến thông qua các công cụ như Ollama hoặc LM Studio – điều mà kẻ tấn công đã lợi dụng triệt để.
Rủi ro khi tải phần mềm AI từ nguồn không xác thực
Lisandro Ubiedo – chuyên gia bảo mật tại Kaspersky – cảnh báo rằng: "Dù việc sử dụng LLM ngoại tuyến có thể mang lại lợi ích về quyền riêng tư và giảm phụ thuộc vào dịch vụ đám mây, nhưng nếu không có biện pháp phòng ngừa thích hợp, người dùng dễ bị tội phạm mạng khai thác."Trong nhiều trường hợp, các gói cài đặt giả mạo không chỉ chứa mã độc theo dõi, mà còn có thể cài keylogger (ghi lại thao tác bàn phím), phần mềm đào tiền điện tử, hoặc công cụ đánh cắp dữ liệu trong nền một cách âm thầm.
Tội phạm mạng đang ngày càng tận dụng sự phổ biến của AI nguồn mở để phát tán phần mềm độc hại, đặc biệt nhắm vào người dùng tò mò, thiếu cảnh giác hoặc muốn dùng AI miễn phí từ nguồn không xác thực.
Đọc chi tiết tại đây: https://www.nigeriacommunicationswe...e-posing-as-an-ai-assistant-steals-user-data/
