ジャカルタ-カスペルスキーの脅威調査およびAIテクノロジー調査は、偽のDeepSeek AIWebサイトを通じて、中国語のIT専門家を標的とした高度なマルウェアキャンペーンを特定しました。
このキャンペーンでは、攻撃者は、AIを独自に実行したい高度なユーザーを対象とした「DeepSeek本地展開」(DeepSeek Local Deployment)を宣伝するための説得力のある中国語インターフェイスを作成しました。
カスペルスキーの分析によると、マルウェアは、DeepSeekのような人気のあるオープンソースのフレームワークであるOllamaに変装し、ジェネレーティブAIモデルをローカルに実行していました。
「DeepSeekなどのジェネレーティブAIツールをローカルに実行し、完全に制御し、クラウドサービスへの依存を減らし、プライバシーを向上させる魅力は、IT専門家の間で一般的になっています」と、Kaspersky AI Technology Research CenterのグループマネージャーであるVladsky Tushkanov氏は説明します。
カスペルスキーの研究者はさらに、この特定のマルウェアを配布する偽のドメインapp.delpaseek[gearcom、app.deapseek[gearcom]、およびdpsk.dghj ト[gear] を特定しました。
ユーザーがインストールすると、マルウェアはKCPプロトコルを使用して秘密の通信トンネルを作成し、攻撃者に感染したシステムへの継続的な長距離アクセスを提供する可能性があります。
このバックドアアクセスにより、脅威アクターは機密データをこっそり抽出し、資格情報を取得し、システムアクティビティを監視し、これらの専門家が働いている企業ネットワークを横方向に移動することができます。
「これらの技術的に有能な個人を明示的に標的にすることで、攻撃者は侵入された個人用デバイスから非常に特別な企業環境に橋渡しします」と彼は付け加えました。
並行キャンペーンでは、偽のDeepSeekドメインが、段ボールを含む高度な回避技術を使用するマルウェアを分布させ、その後にマルウェアが正当なシステムプロセスで動作することを可能にするプロセス注入が続き、検出がはるかに困難になります。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
