Threats
Investigadores revelam esquema sofisticado que utiliza delimitação geográfica e bots coordenados para distribuir malware
01/04/2025
|
Especialistas de cibersegurança identificaram uma campanha avançada de disseminação de malware que explora o crescimento do DeepSeek. O ataque, que conseguiu alcançar mais de 1,2 milhões de visualizações, envolveu a criação de réplicas do site oficial do software, promovidas através de contas empresariais comprometidas e amplificadas por redes de bots no X. De acordo com a Kaspersky, durante a investigação, os analistas descobriram que os atacantes registaram domínios fraudulentos, como “deepseek-pc-ai[.]com” e “deepseek-ai-soft[.]com”, para simular o site oficial do DeepSeek. Uma das técnicas mais sofisticadas do ataque foi a implemtanção de geofencing, o que permitiu que o conteúdo malicioso fosse ajustado consoante a localização do utilizador. Esta estratégia reduziu o risco de deteção e aumentou a eficácia da campanha. “Esta campanha demonstra uma sofisticação notável para além dos típicos ataques de engenharia social. Os atacantes exploraram o hype atual em torno da tecnologia de IA generativa, combinando habilmente o geofencing direcionado, as contas comerciais comprometidas e a amplificação orquestrada de bots”, explica Vasily Kolesnikov, Analista Sénior de Malware da Kaspersky Threat Research. O X foi a principal plataforma de disseminação do esquema. Os cibercriminosos comprometeram a conta de uma empresa australiana para publicar links fraudulentos, que rapidamente se tornaram virais. O post alcançou cerca de 1,2 milhões de impressões, impulsionado por reposts de bots coordenados, com nomes e perfis semelhantes, o que reforça a suspeita de amplificação artificial do conteúdo. As vítimas que acediam a esses sites eram levadas a descarregar o que acreditavam ser a aplicação DeepSeek, mas, na realidade, instalavam um software malicioso. Através dele, os atacantes conseguiam ter acesso remoto não autorizado aos dipositivos afetados, uma vez que o instalador comprometido acionava scripts PowerShell codificados, ativava o serviço SSH do Windows e reconfigurava-o com chaves de acesso controladas pelos atacantes. |
Receba todas as novidades na sua caixa de correio!
THREATS
Milhares de sites WordPress comprometidos com malware DollyWay
PODCAST
Eleições e NIS2: o impasse na transposição da diretiva em destaque no mais recente episódio do IT Security Watch
ANALYSIS
Cibersegurança com peso significativo nas adjudicações do setor público em Portugal
ITECH
Google lança nova versão do scanner de vulnerabilidades open source
ANALYSIS
Mais de 3,2 mil milhões de credenciais comprometidas durante 2024
THREATS
Ferramenta eleva stuffing de credenciais a larga escala
THREATS
Três em cada quatro utilizadores empresariais partilham dados sensíveis com aplicações de IA generativa
THREATS
Google corrige falha crítica no Chrome após campanha de ciberespionagem contra organizações russas
THREATS
Vulnerabilidades críticas em Kubernetes abrem caminho à exposição de clusters
THREATS
Detetada atividade de ciberespionagem contra entidade europeia
