يُعدّ نموذج (DeepSeekR1) واحدًا من أشهرالنماذج اللغوية الكبيرةحاليًا، ومع تزايد بحث المستخدمين عن مواقعروبوتات الدردشةعبرمحركات البحث، بدأ المجرمون السيبرانيون باستغلال هذه الشعبية، إذ كشفت شركةكاسبرسكيفي وقت سابق عنهجمات ببرمجيات خبيثةتحت ستار (DeepSeek) لجذب الضحايا.
كما رصد فريق كاسبرسكي للبحث والتحليل العالمي،خلال شهر يونيو الجاريحملة خبيثة جديدة تنشر برنامج حصان طروادة متنكرًا في هيئة تطبيق وهمي يزعم أنه النموذج اللغوي الكبير (DeepSeekR1) المخصص للحواسيب الشخصية، وتستغل هذه الحملة مواقعالتصيد الاحتياليوإعلانات جوجللاستهداف الضحايا، بهدف سرقة معلوماتهم الحساسة.
تفاصيل حملة استهداف (DeepSeekR1):
تنتشر هذه البرمجية الخبيثة المكتشفة حديثًا من خلال موقع تصيد احتيالي يحاكي الصفحة الأصلية لموقع (DeepSeek)، ويُروج له عبر إعلانات جوجل، وتهدف الهجمات إلى تثبيت برمجية خبيثة تُسمى (BrowserVenom).
وتعمل برمجية (BrowserVenom) على إعادة ضبط متصفحات الإنترنت في جهاز الضحية، لتمرير زيارات الويب عبر خوادم المهاجمين، مما يسمح بسرقة معلومات تسجيل الدخول وغيرها من البيانات الحساسة.
وقد اكتشف خبراء كاسبرسكي عدة حالات إصابة ببرمجية (BrowserVenom) في كل من: البرازيل، وكوبا، والمكسيك، والهند، ونيبال، وجنوب أفريقيا، ومصر.
استهداف أنظمة ويندوز:
لقد أتاحت إمكانية تشغيل نموذج (DeepSeek) بدون إنترنت في الحواسيب الشخصية، باستخدام تطبيقات مثل: Ollama أو LM Studio، فرصة للمهاجمين لاستغلالها في حملتهم. وتشمل خطوات الهجوم:
- الاستدراج عبر إعلانات جوجل:عندما يبحث المستخدمون عن نموذج (DeepSeekR1) عبر محركات البحث، يتم توجيههم عبر إعلانات جوجل إلى موقع تصيد احتيالي ينتحل عنوان منصة (DeepSeek) الحقيقية.
- التحقق من نظام التشغيل:بمجرد وصول المستخدم إلى الموقع المزيف، يجري التحقق من نوع نظام التشغيل المستخدم في جهازه، إذ تُركز هذه الحملة بنحو خاص في استهداف أنظمةويندوز، ولم تتعرض أنظمة التشغيل الأخرى للاستهداف خلال مدة البحث.
- استهداف أنظمة ويندوز:في حال اكتشاف نظام ويندوز، يُعرض على المستخدم خيار تنزيل الأدوات المطلوبة لتشغيل النموذج اللغوي الكبير دون إنترنت.
- تنزيل الملف الخبيث:بمجرد النقر على زر التنزيل وإكمال اختبار التحقق من الهوية (CAPTCHA)، يُحمّل ملف التثبيت الخبيث في جهاز المستخدم، ثم يُعرض على المستخدم بعد ذلك خياران ل برامج مشروعة وتثبيتها إما Ollama أو LM Studio.
- تجاوز الدفاعات:بغض النظر عن الخيار الذي يحدده المستخدم، تُثبت البرمجية الخبيثة نفسها مع برامج Ollama أو LM Studio المشروعة. وتبرز خطورة هذه البرمجية في قدرتها على تجاوز دفاعات Windows Defender باستخدام خوارزمية خاصة. ومع ذلك، تشترط هذه العملية وجود صلاحيات المدير في حساب المستخدم في نظام ويندوز؛ وإذا افتقر الحساب لهذه الصلاحيات، يفشل تثبيت البرنامج الخبيث.
- بعد التثبيت:فور تثبيتها، تُعدل البرمجية الخبيثة إعدادات متصفحات الويب في النظام لاستخدام خادم وكيل (proxy server) يتحكم فيه المهاجمون، مما يمكنهم من اعتراض البيانات الحساسة ومتابعة حركة تصفح الضحية.
وقد أوضح ليساندرو أوبيدو، الباحث الأمني في فريق كاسبرسكي للبحث والتحليل العالمي، التناقض بين المزايا والمخاطر المتزايدة لاستخدام النماذج اللغوية الكبيرة دون اتصال بالإنترنت، قائلًا: “مع أن تشغيل النماذج اللغوية الكبيرة بدون إنترنت يعزز الخصوصية ويقلل الحاجة إلى الخدمات السحابية، فإنه قد يشكّل مخاطر كبيرة دون اتخاذ الاحتياطات اللازمة، إذ تشهد أدواتالذكاء الاصطناعيالمفتوحة المصدر استغلالًا متزايدًا من المجرمين السيبرانيين الذين ينشرون برمجيات خبيثة وبرامج تثبيت مزيفة لتركيب برمجيات تسجيل ضربات المفاتيح، وتعدين العملات المشفرة، وسرقة المعلومات، وتهدد هذه الأدوات الزائفة بيانات المستخدم الحساسة، خصوصًا عند ها من منصات غير موثوقة”.
توصيات كاسبرسكي لتفادي التهديدات:
تقدم كاسبرسكي التوصيات التالية لحماية المستخدمين من هذه التهديدات:
- فحص عناوين المواقع الإلكترونية:بالتحقق من صحة عناوين المواقع وتجنب عمليات الخداع (التصيد الاحتيالي).
- التنزيل من المصادر الموثوقة:بتنزيل أدوات النماذج اللغوية الكبيرة المحلية من مواقعها الأصلية فقط، مثل: ollama.com و lmstudio.ai.
- الحد من الصلاحيات:بتجنب استخدام نظام ويندوز بحساب يملك صلاحيات المدير دائمًا.
- استخدام حلول الأمن السيبراني:استخدام حلولالأمن السيبرانيالموثوقة لمنع تشغيل الملفات الخبيثة والكشف عنها.