Khám phá mối đe dọa mới tinh vi nhắm vào DeepSeek

Mồi nhử lừa đảo

Quá trình lây nhiễm bắt đầu từ một trang web lừa đảo, có địa chỉ tại https[:]//deepseek-platform[.]com, nó được phát tán thông qua quảng cáo độc hại, các tin tặc đã thao túng kết quả tìm kiếm “deepseek r1” lên ưu tiên hàng đầu. Khi người dùng truy cập vào trang web, một cuộc kiểm tra được thực hiện để xác định hệ điều hành của nạn nhân. Nếu người dùng đang chạy Windows, họ sẽ chỉ được hiển thị một button đang hoạt động là “Try now”. Các nhà nghiên cứu cũng đã thấy các bố cục cho các hệ điều hành khác với một số thay đổi nhỏ về cách diễn đạt, nhưng tất cả đều đánh lừa người dùng click vào button.
  Nhấp vào button này sẽ đưa người dùng đến màn hình chống bot CAPTCHA. Code của màn hình này là JavaScript được làm tối nghĩa (obfuscation), thực hiện một loạt các kiểm tra để đảm bảo rằng người dùng không phải là bot. Các nhà nghiên cứu đã tìm thấy các tập lệnh khác trên cùng một tên miền độc hại, báo hiệu rằng đây không phải là lần lặp đầu tiên của các chiến dịch như vậy.

Sau khi giải quyết thành công CAPTCHA, người dùng được chuyển hướng đến URL proxy1[.]php với button “Download now”. Khi click vào button này sẽ tải xuống trình cài đặt độc hại có tên AI_Launcher_1.21[.]exe từ URL sau: https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1[.]21[.]exe.

Trình cài đặt độc hại

AI_Launcher_1.21[.]exe là trình khởi chạy cho phần mềm độc hại giai đoạn tiếp theo. Sau khi tệp nhị phân này được thực thi, nó sẽ mở một cửa sổ mô phỏng Cloudflare CAPTCHA. Đây là một CAPTCHA giả mạo khác được tải từ https[:]//casoredkff[.]pro/captcha. Sau khi tích vào hộp checkbox, URL được thêm vào /success, người dùng sẽ thấy màn hình sau (Hình 3), cung cấp các tùy chọn để tải xuống, cài đặt Ollama và LM Studio. Nhấp vào bất kỳ button “Install” nào cũng sẽ tải xuống và thực thi trình cài đặt tương ứng, nhưng có một lưu ý là một hàm khác chạy đồng thời: MLInstaller[.]Runner[.]Run(). Hàm này kích hoạt phần lây nhiễm của mã độc. Khi MLInstaller[.]Runner[.]Run() được thực thi trong một luồng riêng biệt, quá trình lây nhiễm sẽ diễn ra theo ba bước sau:

1. Đầu tiên, chức năng độc hại sẽ cố gắng loại trừ thư mục của người dùng khỏi sự bảo vệ của Windows Defender, bằng cách giải mã bộ đệm bằng thuật toán mã hóa AES. Bộ đệm được giải mã chứa lệnh PowerShell thực hiện việc loại trừ như đề cập, sau khi mã độc thực thi lệnh sau: “powershell.exe -inputformat none -outputformat none -NonInteractive -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath $USERPROFILE”. Cần lưu ý rằng lệnh này cần có quyền quản trị viên và sẽ thất bại nếu người dùng không có quyền này.

2. Sau đó, một lệnh PowerShell khác chạy, tải xuống một tệp thực thi từ một tên miền độc hại có tên được lấy từ thuật toán tạo tên miền ngẫu nhiên (DGA). Tệp thực thi đã tải xuống được lưu dưới dạng hồ sơ người dùng %USERPROFILE%\Music\1[.]exe, sau đó được thực thi.

Vào thời điểm phân tích, chỉ có một tên miền tồn tại: app-updater1[.]app. Hiện tại, không thể tải xuống tệp nhị phân nào từ tên miền này, thế nhưng Kaspersky nghi ngờ rằng đây có thể là một phần mềm độc hại khác, chẳng hạn như một backdoor để truy cập thêm. Cho đến nay, các nhà nghiên cứu đã tìm được một số tên miền độc hại liên quan đến mối đe dọa này, chúng được đánh dấu trong chỉ số IoC.

3. Tiếp đó, hàm MLInstaller[.]Runner[.]Run() định vị một payload giai đoạn hai được mã hóa cứng trong lớp và biến ConfigFiles[.]load của bộ đệm trình cài đặt độc hại. Tệp thực thi này được giải mã bằng cùng thuật toán AES như trước, để được tải vào bộ nhớ và chạy.

Phần mềm độc hại BrowserVenom

Các nhà nghiên cứu đặt tên cho phần mềm độc hại giai đoạn tiếp theo là BrowserVenom, vì nó cấu hình lại tất cả các trường hợp duyệt web, từ đó tự động chuyển hướng lưu lượng truy cập thông qua một proxy do tác nhân đe dọa kiểm soát. Điều này cho phép chúng thu thập dữ liệu nhạy cảm và theo dõi hoạt động duyệt web của nạn nhân trong khi giải mã lưu lượng truy cập của họ.

Đầu tiên, BrowserVenom kiểm tra xem người dùng hiện tại có quyền quản trị viên hay không, nếu không nó sẽ cài đặt chứng thư số do tin tặc tạo ra. Sau đó, phần mềm độc hại sẽ thêm địa chỉ máy chủ proxy được mã hóa cứng vào tất cả các trình duyệt hiện đang cài đặt và chạy. Đối với các phiên bản dựa trên Chromium (tức là Chrome hoặc Microsoft Edge), nó sẽ thêm đối số proxy-server và sửa đổi tất cả các tệp LNK hiện có, trong khi đối với các trình duyệt dựa trên Gecko, chẳng hạn như Mozilla hoặc Tor Browser, phần mềm độc hại sẽ sửa đổi các tùy chọn hồ sơ của người dùng. Các thiết lập hiện đang được phần mềm độc hại sử dụng như sau: public static readonly string Host = "141.105.130[.]106"; public static readonly string Port = "37121"; public static readonly string ID = "LauncherLM"; public static string HWID = ChromeModifier.RandomString(5).

Các biến Host và Port là các biến được sử dụng làm thiết lập proxy, còn ID và HWID được thêm vào User-Agent của trình duyệt, có thể là một cách để theo dõi lưu lượng mạng của nạn nhân.

Kết luận

DeepSeek là mồi nhử hoàn hảo để những kẻ tấn công thu hút nạn nhân mới. Việc các tác nhân đe dọa sử dụng công cụ độc hại mới, chẳng hạn như BrowserVenom, làm phức tạp việc phát hiện hoạt động của chúng. Điều này, kết hợp với việc sử dụng Google Ads để tiếp cận nhiều nạn nhân hơn và có vẻ hợp lý hơn, khiến các chiến dịch như vậy thậm chí còn hiệu quả hơn.

Vào thời điểm nghiên cứu, Kaspersky phát hiện nhiều trường hợp lây nhiễm ở Brazil, Cuba, Mexico, Ấn Độ, Nepal, Nam Phi và Ai Cập. Bản chất của mồi nhử và sự phân bố địa lý của các cuộc tấn công cho thấy các chiến dịch như thế này tiếp tục gây ra mối đe dọa toàn cầu đối với những người dùng không nghi ngờ. Để bảo vệ chống lại các cuộc tấn công này, người dùng nên xác nhận rằng kết quả tìm kiếm của họ là các trang web chính thức, cùng với URL và chứng thư số, để đảm bảo rằng trang web đó là nơi phù hợp để tải xuống phần mềm hợp pháp.