Google Ads Usados Para Espalhar o Falso Malware DeepSeek

Pesquisadores de cibersegurança identificaram uma perigosa nova campanha de malware, que tem como alvo usuários do popular chatbot de IA DeepSeek-R1.

Pesquisadores de cibersegurança da Kaspersky relatam que invasores estão utilizando Google Ads para promover uma versão falsa do site, aproveitando-se da popularidade do modelo para enganar os usuários e fazê-los baixar um software malicioso.

O anúncio malicioso direciona os usuários para “deepseek-platform[.]com” – um site falso que imita o site oficial do DeepSeek. Os usuários que clicam no botão “Experimente agora” são apresentados a um CAPTCHA falso antes de serem solicitados a baixar o que parece ser o instalador do DeepSeek. O arquivo, chamado “AI_Launcher_1.21.exe”, é na verdade uma cadeia de malware sofisticada.

O instalador abre um segundo CAPTCHA falso e oferece para instalar ferramentas de IA conhecidas como Ollama e LM Studio. Mas, em segundo plano, ele executa um código oculto que inicia a infecção. Primeiro, tenta contornar o software antivírus, excluindo a pasta do usuário do Windows Defender. Depois, tenta baixar mais malware de outro domínio não confiável.

A carga final, conhecida como BrowserVenom, modifica as configurações do navegador para redirecionar todo o tráfego da web através de servidores proxy operados pelos invasores. Isso permite que eles monitorem os dados do usuário e as atividades online. O malware adiciona um certificado falso ao sistema enquanto modifica atalhos e configurações do navegador no Firefox e Tor.

Os pesquisadores observam que o ataque já mirou usuários no Brasil, Cuba, México, Índia, Nepal, África do Sul e Egito.

“Conforme temos relatado, DeepSeek tem sido a isca perfeita para os atacantes atrair novas vítimas”, disseram os pesquisadores. Eles alertam os usuários a verificar duas vezes os URLs dos sites e os certificados antes de fazer o download de softwares, mesmo a partir dos resultados de busca, para evitar cair nessas armadilhas.