Especialistas da Kaspersky Lab descobriram o vírus BrowserVenom, que infecta computadores Windows disfarçando-se como o aplicativo de chatbot DeepSeek AI. O malware monitora secretamente o usuário do computador e manipula seu tráfego.
Fonte da imagem: securelist.ru
Os cibercriminosos espalham o vírus por meio de anúncios de busca do Google que aparecem nos resultados de busca para, entre outras coisas, a consulta “deep seek r1”. Eles contam com o fato de que novos usuários do sistema de IA generativa podem não estar cientes dos domínios oficiais onde o modelo de raciocínio R1 está hospedado. Ao clicar no anúncio, o usuário é direcionado para um site falso do DeepSeek com um botão para supostamente baixar o modelo R1 — o objetivo é induzi-lo a baixar um arquivo executável malicioso.
Site de phishing
«Examinamos o código-fonte do site de phishing e a página de entrega e encontramos comentários em russo relacionados à funcionalidade dos sites. “Isso nos leva a crer que os sites foram desenvolvidos por invasores de língua russa”, afirma a publicação no blog da Kaspersky Lab. Após a execução do arquivo malicioso, uma janela aparece na tela simulando a instalação do DeepSeek R1. Na realidade, o computador está infectado com o vírus BrowserVenom, que reconfigura os navegadores instalados para roteá-los por meio de um servidor proxy controlado pelos invasores, permitindo que eles interceptem dados confidenciais, rastreiem a navegação da vítima e descriptografem seu tráfego.
O domínio associado à campanha maliciosa foi bloqueado, mas especialistas da Kaspersky Lab registraram casos de computadores infectados no Brasil, Cuba, México, Índia, Nepal, África do Sul e Egito. Os usuários devem se certificar de que o site que estão acessando realmente pertence ao desenvolvedor que procuram antes de baixar qualquer arquivo. Além disso, executar o DeepSeek R1 de código aberto em um PC requer várias etapas, e não se trata de um arquivo executável único e fácil de usar para Windows.