mobile ai chatbot interface on smartphone
Aynur Vəliyeva

“X” sosial şəbəkəsində “DeepSeek”-i təqlid edən zərərli proqram yayılır

Ekspertlər eyni zamanda həyata keçirilən bir neçə aktiv kampaniya aşkar ediblər. Onlar
“DeepSeek” saytının dizaynına bənzər, həmçinin ayrılıqda “Grok” neyron şəbəkəsini
təqlid edən səhifə qrupları üzərindən kompüterlərə zərərli proqramların yayılmasını
təmin edir.

Söhbət əvvəllər məlum olmayan stilerdən (oğurluq proqramı), zərərli “PowerShell” skriptlərindən və arxa qapı (backdoor) hücumlarından gedir. Saxta resurslara keçidlər, o cümlədən “X” (keçmiş “Twitter”) sosial şəbəkəsinə yerləşdirilib. Müxtəlif ölkələrdən istifadəçilər bu hücumların qurbanına çevrilə bilərlər.

Birinci qrup saytlar və yeni stiler. Əvvəlcə domen adlarında “DeepSeek V3” və “R1”
modellərinin versiyaları istifadə olunurdu. Saxta resurslarda “çatı başlat” seçimi yox idi,
yalnız “Windows” üçün müştəri proqramının arxivini yükləmək imkanı verilirdi. Lakin
bəyan edilən proqram əvəzinə istifadəçinin kompüterinə əvvəllər məlum olmayan stiler
yüklənirdi. Bu zərərli proqram vasitəsilə təcavüzkarlar yoluxmuş cihazdakı istifadəçi
məlumatlarına — brauzerlərdə saxlanılan kuki fayllarına və sessiyalara, e-poçt
hesablarının login və şifrələrinə, oyun və digər xidmətlərdəki hesablarına, müəyyən
proqram əlavələrinə malik fayllara, həmçinin kriptovalyuta cüzdanları haqqında
informasiyalara çıxış əldə edə bilirlər. Daha sonra onlar “DeepSeek” tələsini “Grok” ilə
əvəz ediblər, lakin istifadə olunan sxem və zərərli proqram dəyişməz qalıb.
İkinci qrup saytlar və zərərli skript.

Digər saxta resurslar geofensinq üsulundan istifadə edirdi: məsələn, əgər sorğu Rusiya
IP ünvanlarından göndərilirdisə, istifadəçiyə boş keçid səhifəsi göstərilirdi. Lakin əgər IP
Avropaya məxsus idisə, server “DeepSeek” təqlid edən səhifəni açırdı. Bu səhifədə
neyron şəbəkəsinin müştəri proqramını yükləmək və ya çatbotu işə salmaq təklif edilirdi.
İstifadəçi bu əməliyyatlardan birini yerinə yetirdikdə zərərli quraşdırıcı yüklənir və
nəticədə yükləmə zənciri vasitəsilə “PowerShell” skripti icra olunurdu. Bu skript
kibercinayətkarlara qurbanın kompüterinə qoşulmaq imkanı verirdi.
Üçüncü qrup saytlar və arxa qapı (backdoor).

Seçilmiş resurslara edilən hücumların mexanikası daha təcrübəli istifadəçilərə yönəlirdi.
Yüklənən zərərli proqram “Ollama” adı altında gizlədilmişdi — bu, “DeepSeek” kimi
böyük dil modellərini yerli kompüterlərdə işə salmaq üçün nəzərdə tutulmuş çərçivədir.
Lakin real alətlərin əvəzinə istifadəçilərin cihazlarına arxa qapı alqoritm xətası yüklənirdi
və “DeepSeek” müştəri tətbiqi işə salındıqda aktivləşir, nəticədə təcavüzkarlara
qurbanın kompüterinə uzaqdan giriş imkanı verirdi.

“Aşkar edilmiş kampaniyalarda təkcə ‘DeepSeek’ müştərisi adı altında maskalanan
zərərli proqramlar deyil, həm də saxta saytların yayılma vektoru maraqlıdır. Məsələn,
zərərli resurslardan birinə keçid ‘X’ sosial şəbəkəsində (keçmiş Twitter) paylaşılıb. Bu
paylaşım guya Avstraliya şirkətinə məxsus bir hesab tərəfindən edilib. Zərərli keçidə
sahib olan bu paylaşım 1,2 milyon baxış və yüzdən dəfədən çox yenidən paylaşılıb.
Lakin görünür ki, yenidən paylaşımların əksəriyyəti botlar tərəfindən edilib.

Təcavüzkarlar mümkün qədər çox qurbana çatmaq üçün taypskvotinq (domen adlarının
oxşar versiyalarını qeydiyyatdan keçirməklə istifadəçiləri aldadaraq saxta saytlara
yönləndirmək) və ya saxta səhifələrə reklam keçidləri almaq təklifi kimi üsullardan istifadə edə bilərlər. Bundan əlavə, onlar tərəfdaş proqramlar vasitəsilə reklam
tranzaksiyaları həyata keçirə və ya messencerlərdə zərərli keçidləri paylaşa bilərlər”, —
deyə Kaspersky-nin maşın öyrənmə texnologiyalarının tədqiqat və inkişaf qrupunun
rəhbəri Vladislav Tuşkanov bildirib.

“Süni intellekt texnologiyalarının inkişafı ilə fırıldaqçılar istifadəçiləri aldatmaq üçün yeni
alətlər əldə edirlər. Onlar, xüsusilə, insanların neyron şəbəkələrə olan böyük
marağından yararlanmağa çalışırlar. Qorunmaq üçün ayıq-sayıq qalmaq, tənqidi
düşüncəni inkişaf etdirmək və informasiya mənbələrini yoxlamaq vacibdir”, — deyə
Kaspersky-nin Azərbaycandakı rəsmi nümayəndəsi Müşviq Məmmədov qeyd edib.
Kaspersky-nin həlləri istifadəçiləri aşkar edilmiş kampaniyalarda rast gəlinən zərərli
proqramlardan qoruyur.

Kibertəhlükələrdən qorunmaq üçün mütəxəssislər tövsiyə edirlər:

  • Ziyarət edilən saytların ünvanlarını və təklif olunan xidmətləri diqqətlə yoxlayın. Məsələn, “DeepSeek”in “Windows” üçün rəsmi müştəri proqramının olmadığını xatırlayın.
  • Şübhəli yazışmalar və sosial şəbəkə paylaşımlarında gələn linklərə daxil olmamaq.
  • Cihazda qoruyucu həllərdən istifadə edin. Onlar sizi fişinq səhifəsinə keçid cəhdləri barədə xəbərdar edəcək və zərərli proqramların quraşdırılmasını önləyəcək.

Bir şərh yazın