Фалшиви сайтове, имитиращи DeepSeek, крадат криптовалути и разпространяват infostealer

Киберизмамници създават фалшиви уебсайтове, имитиращи DeepSeek. Целта на новата кампания е да се подлъжат потребителите да разкрият лична и чувствителна информация.

Според изследователи от ThreatLabz вече са се появили значителен брой имитационни сайтове на китайския чатбот. Част от тях са deepseeksol.com, deepseeksky.com, deepseek.app, deepseekaiagent.live и много други.

Освен че се прицелват в личните данни на потребителите, хакерите ги подмамват и да изтеглят Vidar – вид infostealer.

Веригата на атаката включва:

• измамен уебсайт на DeepSeek, който иска от посетителите да извършат процес на регистрация;
• потребителят се насочва към фалшива CAPTCHA страница;
• JavaScript копира злонамерена PowerShell команда в клипборда на потребителя, която, ако бъде изпълнена, изтегля и изпълнява Vidar infostealer;
• той краде чувствителни данни като пароли, портфейли за криптовалути и лични файлове.

Зловредният софтуер използва платформи за социални медии, като Telegram, за да прикрие своята C2 инфраструктура. Той е програмиран да търси файлове и конфигурации, конкретно свързани с портфейли за криптовалути.