DeepSeek: malware usa la popularidad de esta IA para atacar a usuarios en línea
La popularidad de DeepSeek‑R1, uno de los modelos de lenguaje más conocidos en la actualidad, no solo ha atraído la atención de desarrolladores y entusiastas de la inteligencia artificial, sino también de actores maliciosos que han encontrado en ella un gancho para lanzar ataques informáticos cada vez más sofisticados.
De acuerdo con un artículo de Kaspersky, a través de páginas de phishing y campañas de publicidad maliciosa, esta amenaza busca engañar a usuarios de todos los niveles de experiencia para infectarlos con un implante conocido como “BrowserVenom”.
Esta nueva estrategia de ataque destaca por presentarse como un instalador legítimo de DeepSeek‑R1, ya que el malware llega a través de un sitio web falso ubicado en la dirección https[:]https://www.eleconomista.com.mx/deepseek‑platform[.]com, promovido mediante anuncios en los primeros resultados de búsqueda de “DeepSeek R1”.
Al ingresar al sitio, la víctima recibe un instalador llamado AI_Launcher_1.21.exe que, al ejecutarse, presenta una serie de pantallas similares a CAPTCHA para crear una falsa sensación de legitimidad.
La trampa para el usuario
Una vez que la víctima hace clic en el supuesto botón de “Probar ahora” y completa la pantalla CAPTCHA, es dirigido a una segunda donde le ofrecen instalar herramientas como Ollama o LM Studio.
Sin embargo, junto con estos instaladores legítimos, también se ejecuta en segundo plano el componente malicioso, que comienza a alterar la configuración del sistema para garantizar la persistencia y obtener privilegios elevados.
Exclusiones en Windows Defender y descarga de malware adicional
Uno de los primeros pasos que ejecuta el malware es intentar excluir la carpeta del usuario de la protección de Windows Defender para evadir futuras detecciones.
A través de comandos de PowerShell, y utilizando un algoritmo AES‑256‑CBC para descifrar datos, ejecuta esta acción siempre y cuando la víctima cuente con privilegios de administrador.
Posteriormente, descarga un ejecutable adicional desde un dominio generado de manera dinámica, con el propósito de establecer una puerta trasera para futuros ataques.
Implantación de BrowserVenom
El componente final de esta amenaza es “BrowserVenom”, un implante que modifica la configuración de todos los navegadores instalados en el equipo para obligarlos a utilizar un proxy controlado por los atacantes. Esto les permite interceptar, monitorear y alterar el tráfico de la víctima, exponiendo datos críticos mientras navega por internet.
Para garantizar que esta operación funcione, el malware inserta un certificado en el almacén de autoridades de confianza de Windows. Luego, modifica accesos directos de navegadores basados en Chromium y realiza cambios en las configuraciones de navegadores basados en Gecko para garantizar que todas las solicitudes pasen por el proxy maligno.
De esta manera, cada clic, búsqueda o acceso de la víctima queda registrado y expuesto.
Una amenaza global en expansión
La investigación alrededor de esta amenaza reveló infecciones en varios países, como Brasil, Cuba, México, India, Nepal, Sudáfrica y Egipto, lo que confirma que estamos ante una operación de alcance global que sigue ganando víctimas a través de tácticas de phishing y publicidad maliciosa.
Recomendaciones para los usuarios
Ante esta situación, es vital que los usuarios adopten prácticas de seguridad al navegar e instalar software.
- Verificar que las páginas visitadas sean las oficiales
- Analizar cuidadosamente la dirección y el certificado del sitio antes de realizar cualquier descarga
- Evitar hacer clic en resultados de búsqueda no verificados son algunas de las medidas esenciales para prevenir este tipo de ataques.
En un momento en que la inteligencia artificial y las herramientas derivadas de ella ganan relevancia, la precaución y la cultura de la seguridad digital se convierten en las principales aliadas para mantener a salvo la información personal y profesional de cada usuario.
