كشف فريق البحث والتحليل العالمي في شركة كاسبرسكي عن حملة خبيثة جديدة تستغل شعبية تطبيقات الذكاء الاصطناعي، عبر انتحال هوية النموذج اللغوي الكبير DeepSeek-R1 من خلال تطبيق مزيف مصمم خصيصًا للحواسيب الشخصية.
وتستهدف هذه الحملة المستخدمين الباحثين عن تطبيق DeepSeek عبر محرك البحث جوجل، حيث يتم توجيههم إلى موقع تصيّد احتيالي يحاكي واجهة الموقع الأصلي.
تعتمد هذه الحملة على إعلانات مدفوعة في محرك بحث جوجل للإيقاع بالمستخدمين، حيث يُعرض الموقع الاحتيالي بمجرد البحث عن اسم النموذج DeepSeek-R1، ثم يجري التحقق من نظام التشغيل المُستخدم.
في حال كان الجهاز يعمل بنظام ويندوز، يُعرض على المستخدم تحميل أدوات تشغيل النموذج محليًا، ما يفتح الباب لتثبيت برنامج خبيث يُعرف باسم BrowserVenom.
وتستغل هذه الحيلة رغبة المستخدمين في تشغيل نماذج الذكاء الاصطناعي دون اتصال بالإنترنت، باستخدام برامج مثل Ollama أو LM Studio، إذ يتم تمرير برمجيات خبيثة مع التطبيقات الأصلية، ما يؤدي إلى اختراق النظام وتغيير إعدادات المتصفح وتحويل حركة الإنترنت إلى خوادم يتحكم بها المهاجمون.
BrowserVenom: أداة خبيثة لتغيير إعدادات المتصفح وسرقة البيانات
بمجرد دخول المستخدم إلى الموقع المزيف والضغط على زر التحميل بعد اجتياز اختبار CAPTCHA، يبدأ تحميل ملف خبيث يتضمن خيارات لتثبيت برامج Ollama أو LM Studio، حيث يتم تضمين البرنامج الخبيث ضمن الحزمة بشكل متخفي.
تعتمد البرمجية على تجاوز دفاعات Windows Defender باستخدام خوارزمية مخصصة، مما يسمح بتثبيتها دون رصد.
ويُشترط لإتمام التثبيت أن يمتلك حساب المستخدم على ويندوز صلاحيات المدير، وفي حال لم تتوافر هذه الصلاحيات، تفشل عملية التثبيت.
يتيح ذلك للهجوم أن يستهدف مستخدمي الحواسيب غير المحمية بإعدادات أمان متقدمة، ما يزيد من خطر تسرب البيانات.
بعد تثبيت BrowserVenom، تقوم البرمجية بتعديل إعدادات متصفحات الإنترنت في النظام لاستخدام خادم وكيل يتحكم به المهاجمون، مما يمكّنهم من اعتراض حركة تصفح المستخدم وسرقة كلمات المرور والمعلومات الحساسة بما في ذلك بيانات تسجيل الدخول.
هجمات سيبرانية تستغل أدوات الذكاء الاصطناعي مفتوحة المصدر
أكدت كاسبرسكي أن هذه الحملة ليست الأولى التي تستغل شعبية DeepSeek، حيث سبق أن رُصدت هجمات مشابهة تنتحل هوية النموذج لاستدراج المستخدمين.
وتُعد القدرة على تشغيل النماذج اللغوية محليًا دون إنترنت ميزة جذابة، إلا أنها تخلق أيضًا ثغرات أمنية إذا تم تحميل البرامج من مصادر غير موثوقة.
أوضح الباحث الأمني ليساندرو أوبيدو من كاسبرسكي، أن أدوات الذكاء الاصطناعي مفتوحة المصدر تشهد تزايدًا في محاولات الاستغلال من قبل مجرمي الإنترنت، الذين يستغلون رغبة المستخدمين في الاستقلال عن الخدمات السحابية لنشر برمجيات خبيثة مزيفة.
وتم استخدام هذه البرمجيات لتنفيذ عمليات متنوعة مثل تسجيل ضربات المفاتيح، وتعدين العملات الرقمية، وسرقة بيانات المستخدمين، مما يشكل تهديدًا مباشرًا للخصوصية والأمن الرقمي.
كاسبرسكي توصي بإجراءات وقائية لحماية المستخدمين
حذرت كاسبرسكي المستخدمين من مغبة الوقوع ضحية لهذه الأنواع من الهجمات، وقدمت سلسلة من التوصيات لتفادي التهديدات المحتملة.
وشملت التوصيات ضرورة التحقق من عنوان الموقع قبل تحميل أي أدوات، وتجنب تحميل البرمجيات من منصات غير رسمية أو مشبوهة.
وأوصت كذلك بعدم استخدام حسابات بصلاحيات مدير النظام عند تحميل أو تثبيت أي برنامج، إلى جانب استخدام حلول الأمن السيبراني الموثوقة التي توفر حماية استباقية ضد الملفات الخبيثة وعمليات التثبيت غير المشروعة.
تستمر كاسبرسكي في مراقبة هذه الهجمات، وتقديم الحلول الاستباقية للمؤسسات والأفراد على حد سواء، من خلال الاستفادة من خبرتها الطويلة في مجال الأمن السيبراني وتحليل التهديدات الرقمية المتقدمة.
نبذة عن كاسبرسكي
تأسست كاسبرسكي في عام 1997، وتُعد واحدة من أبرز الشركات العالمية في مجال الأمن السيبراني وحماية الخصوصية الرقمية.
وقد ساهمت حلول كاسبرسكي في تأمين أكثر من مليار جهاز حول العالم، ضد التهديدات السيبرانية والهجمات المستهدفة.
تعتمد الشركة على خبرة واسعة في تحليل المعلومات الرقمية ومواجهة التهديدات الحديثة، وتقدم حلولاً متكاملة للمستخدمين الأفراد والشركات والمؤسسات الحكومية، لحماية بياناتهم وتوفير بيئة رقمية آمنة.
توفر كاسبرسكي باقة من المنتجات الأمنية الرائدة للحواسيب الشخصية، إلى جانب خدمات متخصصة للشركات وحلول متقدمة للحماية من الهجمات المعقدة.
وتخدم الشركة اليوم أكثر من 200,000 عميل تجاري وملايين المستخدمين الأفراد على مستوى العالم.
قد يهمك أيضا:-
