El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha detectado una nueva campaña maliciosa dirigida a usuarios en México, en la que los atacantes distribuyen un troyano disfrazado de la aplicación DeepSeek.
Los expertos en ciberseguridad se percataron que delincuentes digitales crearon un sitio de phishing que imita la página oficial y lo promocionan mediante anuncios en Google. Sin embargo, al descargar la supuesta herramienta, se instala BrowserVenom, un malware que modifica el navegador para desviar el tráfico web hacia servidores controlados por los atacantes y robar información personal.
El ataque se aprovecha del creciente interés por las herramientas de IA para engañar a los usuarios con promesas falsas de acceso a modelos avanzados.
TIENES QUE LEER: Ofertas falsas de Labubus están robando información bancaria, alerta Kaspersky
DeepSeek, uno de los modelos de inteligencia artificial más populares actualmente, puede ejecutarse sin conexión en una PC mediante programas como Ollama o LM Studio, y justamente estas opciones fueron aprovechadas por los atacantes en su campaña.
Los usuarios fueron dirigidos a un sitio de phishing que imitaba la dirección de la plataforma original de DeepSeek mediante Google Ads. El enlace aparecÃa en el anuncio al buscar "deepseek r1". Al acceder al sitio falso de DeepSeek, se realizaba una verificación para identificar el sistema operativo de la vÃctima.
Si era Windows, se mostraba un botón para descargar las herramientas y trabajar con el LLM sin conexión. En el momento de la investigación, no se incluyeron otros sistemas operativos.
Después de hacer clic en el botón y completar una prueba CAPTCHA, se descargaba un archivo malicioso que ofrecÃa al usuario la opción de instalar Ollama o LM Studio. Aunque los instaladores de estas herramientas eran reales, venÃan acompañados por un malware oculto que se instalaba en el sistema al mismo tiempo.
Para evitar ser detectado por Windows Defender, el malware usaba un algoritmo especial. Sin embargo, solo lograba infectar el equipo si el usuario tenÃa permisos de administrador en su perfil de Windows; de lo contrario, la instalación no se completaba.
Una vez instalado, el malware modificaba todos los navegadores del equipo para obligarlos a usar un proxy controlado por los atacantes. Esto les permitÃa espiar la actividad en lÃnea del usuario y acceder a información confidencial como contraseñas o datos personales.
Además de México, se han detectado infecciones similares en otros paÃses de América Latina, como Brasil y Cuba, asà como en regiones como India, Nepal, Sudáfrica y Egipto, lo que demuestra que la campaña tiene un alcance verdaderamente global.
Los expertos de Kaspersky emitieron las siguientes recomendaciones para los usuarios:
- Verificar las direcciones de los sitios web para comprobar su autenticidad y evitar estafas.
- Descargar herramientas LLM sin conexión solo de fuentes oficiales (p.ej., ollama.com, lmstudio.ai).
- Utilizar soluciones de seguridades confiables para evitar la ejecución de archivos maliciosos.
- Confirmar que los resultados de las búsquedas en internet sean legÃtimos.
- Evitar usar Windows en un perfil con privilegios de administrador.
TE PUEDE INTERESAR:
- Spark EUV: asà es el nuevo eléctrico de Chevrolet que quiere conquistar las calles mexicanas
- Cinco estrellas y cero preocupaciones: Kia EV3 brilla en seguridad
- ¿Es esto lo que esperabas? Se filtran novedades del Galaxy Z Fold 7 y Flip 7
