A rosszindulatú weboldalakat feltáró Dominic Alvieri a SecurityWeeknek elmondta, hogy jóval több mint ötven aktív webhelyet talált. Emellett több mint ezer olyan domaint is azonosított, amelyeket valószínűleg a rosszindulatú tevékenységekre készítettek elő.
A hamis DeepSeek-oldalakat olyan domaineken üzemeltetik, mint a deepseek-login[.]com is. Ezek célja, hogy a felhasználókat rávegyék a hitelesítő adatok megadására. Más hamis DeepSeek-weboldalak kriptopénz-tárcaürítőket, míg mások token-csalásokat népszerűsítenek – mondta el a kutató.
A rosszindulatú webhelyek egy része nyilvánvalóan és jól láthatóan hamis. A kutató által kiemelt egyik példa egy olyan webhely, amely látszólag egy DeepSeek API “Plateform”-ot hosztol. Más site-okat, például a hitelesítő adathalász oldalakat azonban olyan jól megtervezték, hogy nehéz megkülönböztetni őket a valódi weboldaltól. Alvieri szerint hétről hétre javul a rosszindulatú weboldalak minősége.
Kimegy az ajtón, visszajön az ablakon
A biztonsági szakértő azt is elmondta, hogy neki és a kiberbiztonsági közösség más tagjainak sikerült leállítaniuk néhány ilyen weboldalt, de csakhamar tucatnyi új oldal jelent meg.
Más biztonsági cégek, így az ESET és a Cyble szintén vizsgálták a hamis DeepSeek weboldalakat. A Cyble olyan weboldalakat talált, amelyek megtévesztik a látogatókat azért, hogy becsatornázzák kriptotárcájukat. Ez lehetővé teszi a támadók számára, hogy ellopják az áldozatok pénzét. Ezek a támadások során QR-kódok beolvasására csábítják az áldozatot. A biztonsági cég olyan hamis DeepSeek weboldalakra is rábukkant, amelyek befektetési csalásokat népszerűsítettek. Volt, amelyik azt állította, hogy DeepSeek pre-IPO részvényeket kínál.
A Cyble olyan weboldalakat is felfedezett, amelyek személyes adatok, például név és e-mail cím gyűjtésére “szakosodtak”. Olyan oldalakat is azonosítottak, amelyek DeepSeek-alkalmazások letöltését kínálják, ezek azonban rosszindulatú szoftvereket rejthetnek.
Egy digitális személyiséglopás elleni védelemmel foglalkozó cég szakértője a kiberbiztonsági portálnak elmondta: „a DeepSeek-oldalak esetében lehet, hogy nem csak az adathalászoldalak újabb hullámáról van szó. Sokkal inkább egy összehangolt, valós időben fejlődő támadási kampányról.
A szakértő szerint rendszerük nyomon követi, hogy ezek az oldalak hogyan lépnek működésbe, hogyan alkalmazkodnak, és hogyan változtatják meg az infrastruktúrát, hogy kikerüljék a letiltásokat.
A hagyományos letiltási rendszerek lassú reakcióideje miatt, hogy a támadók kihasználhatják ezeket a lehetőségeket arra, hogy lopjanak a felhasználóktól. Főként még azelőtt, hogy az első jelentések felszínre kerülnének.
A “mezei” felhasználók mellett azonban a profik sincsenek biztonságban. A Python fejlesztők, akik a DeepSeeket akarták integrálni a projektjeikbe, nemrégiben a PyPI-n keresztül szállított rosszindulatú csomagok célpontjai lettek.
(Kép: Dall-e)
