El nuevo malware se hace pasar por DeepSeek para robar datos de los usuarios
Investigadores de GReAT de Kaspersky han descubierto una nueva campaña de ciberataques que distribuye un troyano a través de una falsa aplicación para PC del modelo de lenguaje DeepSeek-R1. El malware, hasta ahora desconocido, se distribuye mediante un sitio web de phishing que simula ser la página oficial de DeepSeek y que se promociona a través de anuncios de Google. El objetivo de estos ataques es instalar BrowserVenom, un malware que configura los navegadores web del dispositivo de la víctima para canalizar el tráfico web a través de los servidores de los atacantes, lo que les permite recopilar datos del usuario (credenciales y otra información sensible). Se han detectado múltiples infecciones en Brasil, Cuba, México, India, Nepal, Sudáfrica y Egipto.
DeepSeek-R1 es uno de los modelos de lenguaje más populares en la actualidad, y Kaspersky ya había informado anteriormente de ataques con malware que lo imitaban para atraer víctimas. Los atacantes aprovecharon que DeepSeek puede ejecutarse sin conexión en ordenadores mediante herramientas como Ollama o LM Studio para llevar a cabo su campaña.
Los usuarios son redirigidos a un sitio web de phishing que imita la dirección de la plataforma original de DeepSeek mediante anuncios en Google, mostrando el enlace en el anuncio cuando un usuario buscaba “deepseek r1”. Una vez que el usuario accedía al sitio falso de DeepSeek, se realizaba una comprobación para identificar el sistema operativo de la víctima. Si era Windows, se le mostraba un botón para descargar herramientas que permitían trabajar con el modelo de lenguaje sin conexión. Los otros sistemas operativos no estaban en el punto de mira de los ciberdelincuentes en el momento del análisis.
Tras hacer clic en el botón y pasar la prueba CAPTCHA, se descarga un archivo que instala el malware y se presentaban opciones para descargar e instalar Ollama o LM Studio. Si se elegía alguna de estas opciones, junto con los instaladores legítimos de Ollama o LM Studio, también se instalaba el malware en el sistema, eludiendo la protección de Windows Defender mediante un algoritmo especial. Este procedimiento requería privilegios de administrador en el perfil de Windows; si el perfil no contaba con estos privilegios, la infección no se producía.
Una vez instalado, el malware configura todos los navegadores web del sistema para utilizar de forma forzada un proxy controlado por los atacantes, permitiéndoles espiar datos de navegación sensibles y monitorizar la actividad online de la víctima. Debido a su carácter intrusivo y propósito delictivo, los investigadores de Kaspersky han denominado a este malware BrowserVenom.
“Aunque ejecutar modelos de lenguaje de forma local ofrece beneficios en cuanto a privacidad y reduce la dependencia de servicios en la nube, también puede conllevar riesgos considerables si no se toman las precauciones adecuadas. Los ciberdelincuentes están explotando cada vez más la popularidad de herramientas de IA de código abierto para distribuir paquetes maliciosos e instaladores falsos que pueden instalar en secreto keyloggers, cryptominers o infostealers. Estas herramientas falsas comprometen los datos sensibles del usuario y suponen una ciberamenaza, especialmente cuando se descargan desde fuentes no verificadas”, comenta Lisandro Ubiedo, Analista de seguridad del equipo GReAT de Kaspersky.
Para evitar este tipo de ciberamenazas, Kaspersky recomienda:
Comprobar las direcciones de los sitios web para verificar que son auténticas y evitar estafas
Descargar herramientas LLM para uso local solo desde fuentes oficiales (por ejemplo, ollama.com, lmstudio.ai)
Utilizar soluciones de seguridad fiables para evitar la ejecución de archivos maliciosos
Confirmar que los resultados de las búsquedas en internet son realmente legítimos
Evitar utilizar Windows en un perfil con privilegios de administrador
Equipo Global Research & Analysis (GReAT)
Creado en 2008, el equipo Global Research & Analysis (GReAT) trabaja en el corazón de Kaspersky, descubriendo ciberamenazas persistentes avanzadas (APT), campañas de ciberespionaje, malware de gran impacto, ransomware y tendencias delictivas del cibercrimen en todo el mundo. Actualmente, GReAT está formado por más de 35 expertos que trabajan a nivel global, en Europa, Rusia, América Latina, Asia y Oriente Medio. Profesionales del ámbito de la seguridad aportan liderazgo en investigación antimalware e innovación, con una experiencia, pasión y curiosidad excepcionales para descubrir y analizar ciberamenazas.
