هجوم خبيث جديد يستغل شعبية DeepSeek-R1 لاستهداف مستخدمي ويندوز

مع تزايد الاهتمام بالنماذج اللغوية الكبيرة، بدأ المهاجمون السيبرانيون في استغلال هذا التوجه لاستهداف المستخدمين. وأحدث مثال على ذلك هو الحملة التي رصدها فريق البحث والتحليل في شركة كاسبرسكي، والتي تتنكر خلف نموذج الذكاء الاصطناعي DeepSeek-R1 لاستهداف أنظمة ويندوز ببرمجيات خبيثة.

هجوم خبيث جديد يستغل شعبية DeepSeek-R1 لاستهداف مستخدمي ويندوز

أطلقت الحملة من خلال مواقع تصيد احتيالي مزيفة، تُروج لها عبر إعلانات جوجل، وتدّعي أنها توفر نموذج DeepSeek-R1 للتنزيل المحلي. وعند النقر على هذه الإعلانات، يتم خداع المستخدمين لتنزيل ملف يحتوي على برمجية ضارة تُعرف باسم BrowserVenom.

هجوم خبيث جديد يستغل شعبية DeepSeek-R1 لاستهداف مستخدمي ويندوز

كيف تعمل برمجية BrowserVenom؟

• إعادة ضبط المتصفحات: تقوم بتعديل إعدادات المتصفح على جهاز الضحية.

• تمرير البيانات عبر خوادم المهاجمين: ما يسمح لهم باعتراض معلومات حساسة، بما في ذلك بيانات الدخول.

• الانتشار الجغرافي: تم تسجيل حالات إصابة في دول مثل البرازيل، كوبا، المكسيك، الهند، نيبال، جنوب أفريقيا، ومصر.

آلية الاستهداف لمستخدمي ويندوز

1. الاستدراج عبر محركات البحث: تظهر إعلانات مزيفة عند البحث عن “DeepSeek-R1”.

2. التحقق من نظام التشغيل: يتم تحديد ما إذا كان المستخدم يعمل على نظام ويندوز.

3. تحميل التطبيق الزائف: يُطلب من المستخدم تحميل أداة تبدو شرعية لتشغيل النموذج (Ollama أو LM Studio).

4. تثبيت الملف الخبيث: يتضمن ملف التثبيت برمجية BrowserVenom الخبيثة إلى جانب البرامج الأصلية.

• طفرة الذكاء الاصطناعي ترفع انبعاثات غوغل الكربونية بنسبة 51% منذ 2019

تجاوز الدفاعات وتثبيت البرمجية

• تعتمد البرمجية على خوارزميات خاصة لتجاوز Windows Defender.

• تتطلب صلاحيات المدير في ويندوز لإتمام التثبيت.

• بعد التثبيت، يتم تحويل إعدادات المتصفح لاستخدام خادم وكيل يدار من قِبل المهاجمين.

• هجوم خبيث جديد يستغل شعبية DeepSeek-R1 لاستهداف مستخدمي ويندوز

التهديدات المتزايدة من أدوات الذكاء الاصطناعي المفتوحة المصدر

علق الباحث الأمني في كاسبرسكي، ليساندرو أوبيدو، على المخاطر بقوله:

“رغم أن تشغيل النماذج اللغوية محليًا يحسّن الخصوصية، إلا أن الاعتماد على أدوات مفتوحة المصدر من مصادر غير موثوقة يعرض المستخدمين لبرمجيات خطيرة، تشمل برامج تسجيل لوحة المفاتيح، وبرمجيات تعدين العملات، وسرقة المعلومات.”

• تجربة مستقبل الصوت كيفية تفعيل ميزات AirPods الجديدة في iOS 26

توصيات كاسبرسكي للحماية من هذه التهديدات

1. التأكد من صحة روابط المواقع الإلكترونية.

2. الاعتماد فقط على المواقع الرسمية للتنزيل: مثل ollama.com و lmstudio.ai.

3. عدم استخدام حساب المدير بشكل دائم في ويندوز.

4. استخدام برامج أمن سيبراني قوية ومحدثة باستمرار.