برمجية خبيثة تنتحل DeepSeek-R1 وتستهدف مستخدمي ويندوز حول العالم

كشفت شركة كاسبرسكي المتخصصة في الأمن السيبراني عن حملة تصيّد إلكتروني خبيثة تستهدف مستخدمي نظام ويندوز، مستغلّة الشعبية المتزايدة لنموذج اللغة الكبير DeepSeek-R1. 

وتهدف هذه الحملة إلى خداع المستخدمين الباحثين عن أدوات ذكاء اصطناعي قابلة للتنصيب على أجهزتهم، من خلال مواقع تصيّد مموّهة وإعلانات مزيفة على محركات البحث، في مقدمتها جوجل، لتنزيل برمجية خبيثة تُعرف باسم "BrowserVenom".

مخطط احتيالي

بدأت الحملة عبر موقع تصيّد صُمّم بعناية ليحاكي الصفحة الرسمية لمنصة DeepSeek-R1، وهو نموذج لغوي مفتوح المصدر حاز مؤخرًا على انتشار واسع بين المهتمين بالتقنية والذكاء الاصطناعي. 

ووفقًا لفريق البحث والتحليل العالمي في كاسبرسكي، فإن المهاجمين يروّجون للموقع المزيف عبر إعلانات مدفوعة على جوجل، ما يعزز فرص وصوله للمستخدمين الباحثين عن النموذج، خاصة أولئك الذين يرغبون في تشغيله دون اتصال بالإنترنت عبر أدوات مثل Ollama أو LM Studio.

وبعد أن يضغط المستخدم على رابط الإعلان، يبدأ الموقع المزيف في التحقق من نظام التشغيل المستخدم، وفي حال كان الجهاز يعمل بنظام ويندوز، يُعرض على الضحية تحميل أداة محلية لتشغيل النموذج، وهو في الحقيقة ملف مُعدّ لتثبيت البرمجية الخبيثة.

استهداف مباشر

تستهدف الحملة أنظمة ويندوز تحديدًا، وقد أظهرت بيانات كاسبرسكي أن البرمجية BrowserVenom ظهرت في عدد من البلدان من بينها البرازيل، كوبا، المكسيك، الهند، نيبال، جنوب أفريقيا، ومصر. 

وتتمثل خطورة هذه البرمجية في قدرتها على تعديل إعدادات متصفحات الويب لتوجيه حركة تصفح المستخدم إلى خوادم وكيلة يتحكم بها المهاجمون، ما يسمح لهم بالتجسس وسرقة معلومات الدخول والبيانات الشخصية.

وتقوم البرمجية بالاندماج مع الأدوات المشروعة Ollama أو LM Studio، التي تُعرض على المستخدم بعد عملية التثبيت المزيف، مما يُخفي نواياها الخبيثة. 

ومن اللافت أن البرمجية تستغل خوارزمية خاصة لتجاوز برنامج الحماية Windows Defender، لكنها لا تنجح إلا في حال كان حساب المستخدم يمتلك صلاحيات المدير، ما يجعل امتلاك هذه الصلاحيات خطرًا مضاعفًا.

تهديد جديد

يشير خبراء الأمن السيبراني إلى أن هذه الحملة تُعدّ نموذجًا واضحًا على تزايد استغلال أدوات الذكاء الاصطناعي مفتوحة المصدر في أنشطة إجرامية. 

وصرّح ليساندرو أوبيدو، الباحث الأمني في كاسبرسكي، أن التشغيل المحلي للنماذج اللغوية، رغم فوائده من حيث الخصوصية، قد يتحول إلى تهديد إذا لم يتم تنزيل الأدوات من مصادر موثوقة، خاصة أن أدوات التصيّد أصبحت أكثر ذكاءً في تقليد المنصات الأصلية وخداع المستخدمين.

ولفت أوبيدو إلى أن هذه البرمجيات الخبيثة لا تقتصر على سرقة المعلومات، بل تُستخدم أحيانًا في تسجيل ضربات لوحة المفاتيح، وتعدين العملات المشفرة، وحتى إنشاء شبكات من الأجهزة المخترقة.

حماية المستخدم

قدمت كاسبرسكي سلسلة من التوصيات المهمة للمستخدمين لتجنّب الوقوع ضحية لحملات التصيد هذه، أبرزها ضرورة التأكد من عنوان الموقع قبل التنزيل، وتجنّب استخدام حسابات ويندوز ذات صلاحيات المدير بشكل دائم، بالإضافة إلى الاعتماد على أدوات الحماية السيبرانية الحديثة، وتنزيل البرامج من المواقع الرسمية فقط، مثل ollama.com وlmstudio.ai.

تأتي هذه التحذيرات في وقت تشهد فيه أدوات الذكاء الاصطناعي انتشارًا واسعًا بين الأفراد والمؤسسات، ما يجعلها هدفًا مثاليًا للمخترقين والمجرمين السيبرانيين، الذين يبتكرون باستمرار طرقًا جديدة لاستغلال هذه التقنيات الحديثة في تنفيذ هجماتهم.