كيف تستغل حملات التصيد “DeepSeek-R1” لاستهداف مستخدمي ويندوز؟

يُعدّ نموذج (DeepSeek-R1) واحدًا من أشهر النماذج اللغوية الكبيرة حاليًا، ومع تزايد بحث المستخدمين عن مواقع روبوتات الدردشة عبر محركات البحث، بدأ المجرمون السيبرانيون باستغلال هذه الشعبية، إذ كشفت شركة كاسبرسكي في وقت سابق عن هجمات ببرمجيات خبيثة تحت ستار (DeepSeek) لجذب الضحايا.

كما رصد فريق كاسبرسكي للبحث والتحليل العالمي، خلال شهر يونيو الجاري حملة خبيثة جديدة تنشر برنامج حصان طروادة متنكرًا في هيئة تطبيق وهمي يزعم أنه النموذج اللغوي الكبير (DeepSeek-R1) المخصص للحواسيب الشخصية، وتستغل هذه الحملة مواقع التصيد الاحتيالي وإعلانات جوجل لاستهداف الضحايا، بهدف سرقة معلوماتهم الحساسة.

تفاصيل حملة استهداف (DeepSeek-R1):

تنتشر هذه البرمجية الخبيثة المكتشفة حديثًا من خلال موقع تصيد احتيالي يحاكي الصفحة الأصلية لموقع (DeepSeek)، ويُروج له عبر إعلانات جوجل، وتهدف الهجمات إلى تثبيت برمجية خبيثة تُسمى (BrowserVenom).

وتعمل برمجية (BrowserVenom) على إعادة ضبط متصفحات الإنترنت في جهاز الضحية، لتمرير زيارات الويب عبر خوادم المهاجمين، مما يسمح بسرقة معلومات تسجيل الدخول وغيرها من البيانات الحساسة.

وقد اكتشف خبراء كاسبرسكي عدة حالات إصابة ببرمجية (BrowserVenom) في كل من: البرازيل، وكوبا، والمكسيك، والهند، ونيبال، وجنوب إفريقيا، ومصر.

استهداف أنظمة ويندوز:

لقد أتاحت إمكانية تشغيل نموذج (DeepSeek) بدون إنترنت في الحواسيب الشخصية، باستخدام تطبيقات مثل: Ollama أو LM Studio، فرصة للمهاجمين لاستغلالها في حملتهم. وتشمل خطوات الهجوم:

• الاستدراج عبر إعلانات جوجل: عندما يبحث المستخدمون عن نموذج (DeepSeek-R1) عبر محركات البحث، يتم توجيههم عبر إعلانات جوجل إلى موقع تصيد احتيالي ينتحل عنوان منصة (DeepSeek) الحقيقية.
• التحقق من نظام التشغيل: بمجرد وصول المستخدم إلى الموقع المزيف، يجري التحقق من نوع نظام التشغيل المستخدم في جهازه، إذ تُركز هذه الحملة بنحو خاص في استهداف أنظمة ويندوز، ولم تتعرض أنظمة التشغيل الأخرى للاستهداف خلال مدة البحث.
• استهداف أنظمة ويندوز: في حال اكتشاف نظام ويندوز، يُعرض على المستخدم خيار تنزيل الأدوات المطلوبة لتشغيل النموذج اللغوي الكبير دون إنترنت.
• تنزيل الملف الخبيث: بمجرد النقر على زر التنزيل وإكمال اختبار التحقق من الهوية (CAPTCHA)، يُحمل ملف التثبيت الخبيث في جهاز المستخدم، ثم يُعرض على المستخدم بعد ذلك خياران لتحميل برامج مشروعة وتثبيتها إما Ollama أو LM Studio.

• تجاوز الدفاعات: بغض النظر عن الخيار الذي يحدده المستخدم، تُثبت البرمجية الخبيثة نفسها مع برامج Ollama أو LM Studio المشروعة. وتبرز خطورة هذه البرمجية في قدرتها على تجاوز دفاعات Windows Defender باستخدام خوارزمية خاصة. ومع ذلك، تشترط هذه العملية وجود صلاحيات المدير في حساب المستخدم في نظام ويندوز؛ وإذا افتقر الحساب لهذه الصلاحيات، يفشل تثبيت البرنامج الخبيث.
• بعد التثبيت: فور تثبيتها، تُعدل البرمجية الخبيثة إعدادات متصفحات الويب في النظام لاستخدام خادم وكيل (proxy server) يتحكم به المهاجمون، مما يمكنهم من اعتراض البيانات الحساسة ومتابعة حركة تصفح الضحية.

وقد أوضح ليساندرو أوبيدو، الباحث الأمني في فريق كاسبرسكي للبحث والتحليل العالمي، التناقض بين المزايا والمخاطر المتزايدة لاستخدام النماذج اللغوية الكبيرة دون اتصال بالإنترنت، قائلًا: “مع أن تشغيل النماذج اللغوية الكبيرة بدون إنترنت يعزز الخصوصية ويقلل الحاجة إلى الخدمات السحابية، لكنه قد يشكل مخاطر كبيرة دون اتخاذ الاحتياطات اللازمة، إذ تشهد أدوات الذكاء الاصطناعي المفتوحة المصدر استغلالًا متزايدًا من المجرمين السيبرانيين الذين ينشرون برمجيات خبيثة وبرامج تثبيت مزيفة لتركيب برمجيات تسجيل ضربات المفاتيح، وتعدين العملات المشفرة، وسرقة المعلومات، وتهدد هذه الأدوات الزائفة بيانات المستخدم الحساسة، خصوصًا عند تحميلها من منصات غير موثوقة”.

توصيات كاسبرسكي لتفادي التهديدات:

تقدم كاسبرسكي التوصيات التالية لحماية المستخدمين من هذه التهديدات:

• فحص عناوين المواقع الإلكترونية: التأكد من صحة عناوين المواقع وتجنب عمليات الخداع (التصيد الاحتيالي).
• التنزيل من المصادر الموثوقة: تنزيل أدوات النماذج اللغوية الكبيرة المحلية من مواقعها الأصلية فقط، مثل: ollama.com و lmstudio.ai.
• الحد من الصلاحيات: تجنب استخدام نظام ويندوز بحساب يملك صلاحيات المدير دائمًا.
• استخدام حلول الأمن السيبراني: استخدام حلول الأمن السيبراني الموثوقة لمنع تشغيل الملفات الخبيثة والكشف عنها.

الخلاصة:

تُسلط هذه الحملة الضوء على المخاطر المتزايدة لاستغلال التقنيات الجديدة، مثل النماذج اللغوية الكبيرة، في الهجمات السيبرانية، لذلك يجب على المستخدمين توخي الحذر الشديد عند تنزيل البرامج من الإنترنت، والاعتماد دائمًا على المصادر الرسمية وحلول الأمن السيبراني الموثوقة لحماية بياناتهم وأجهزتهم.

نسخ الرابط تم نسخ الرابط