雅加达 - 卡巴斯基的威胁研究和人工智能技术研究已经通过虚假的DeepSeek AI网站识别了针对普通话IT专业人员的先进恶意软件活动。
在此活动中,攻击者创建了一个令人信服的曼达林语界面,以宣传“DeepSeek本地部署”(DeepSeek Local Deployment),针对想要独立运行AI的高级别用户。
根据卡巴斯基的分析,恶意软件伪装成Ollama,一个受欢迎的开源框架,如DeepSeek,在当地运行生成AI模型。
卡巴斯基AI技术研究中心集团经理Vladislav Tushkanov解释说:“本地运行DeepSeek等生成AI工具的吸引力,完全控制,减少对云服务的依赖以及更好的隐私已经变得普遍。
卡巴斯基研究人员进一步确定了虚假域名app.delpaseek[.]com,app.deapseek[.]com,以及分发这些特殊恶意软件的dpsk.dghjwd[.]cn。
用户将其安装, 恶意软件 将使用 KCP 协议创建隐私通信隧道,这有可能为攻击者提供受感染系统的连续远程访问。
这种后门接入允许威胁行为者秘密提取敏感数据,捕获凭据,监控系统活动以及在这些专业人员工作的公司网络中横向移动。
“通过明确针对这些技术上有能力的个人,攻击者将个人设备从被渗透到非常特殊的公司环境中桥梁,”他补充说。
在平行活动中,虚假的DeepSeek域名分发了使用高级别的避难技术(包括立足图)的恶意软件,然后是允许恶意软件在合法的系统流程中操作的流程注入,从而使检测变得更加困难。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
