Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.

Les sites de phishing se présentant comme des téléchargements Deepseek abandonnent une porte dérobée proxy

Lucas Morel

Browservenom est un implant malveillant qui redirige et manipule le trafic Web pour collecter des données de navigation sensibles.

Kaspersky avertit les utilisateurs de LLM d’une nouvelle campagne malveillante distribuant un logiciel malveillant auparavant inconnu, surnommé «Browservenom», via un faux installateur d’environnement Deepseek-R1.

Selon les résultats de la société de cybersécurité et d’antivirus, les utilisateurs sont informés de télécharger les logiciels malveillants à partir de sites de phishing se faisant passer pour la page d’accueil officielle Deepseek.

« Les utilisateurs de tous les niveaux d’expérience recherchent des sites Web de chatbot sur les moteurs de recherche, et les acteurs de la menace ont commencé à abuser de la popularité des LLM », ont déclaré des chercheurs de Kaspersky dans un article de blog. « Le site Web (site de phishing avec des logiciels malveillants Browservenom) a été promu dans les résultats de recherche via Google Ads. »

Les attaques déploient Browservenom, un implant malveillant qui réduise tout le trafic du navigateur via un proxy contrôlé par l’acteur, leur permettant de manipuler le trafic et de collecter des données.

Malicents Proxy se faisant passer pour un client en profondeur

Les pages de téléchargement de bidon Deepseek-R1 font de l’installation d’un client de bureau qui n’existe pas. Ce qu’ils obtiennent à la place, c’est un trafic Web sur le trafic Web du navigateur de navigateur personnalisé.

« Nous avons surnommé l’implantation de Browservenom car il reconfigure toutes les instances de navigation pour forcer le trafic à travers un proxy contrôlé par les acteurs de la menace », ont ajouté des chercheurs. «Cela leur permet de renifler des données sensibles et de surveiller l’activité de navigation des victimes tout en décryptant leur trafic.»

Une fois installé, Browservenom modifie silencieusement les paramètres de proxy pour le chrome ainsi que les navigateurs à base de gecko. Il garantit la persistance en mettant à jour les fichiers de configuration qui relassent tout le trafic HTTP / HTTPS vers un proxy externe, permettant aux attaquants de fouiner, d’injecter et de manipuler l’activité de navigation en temps réel, sans alerter l’utilisateur ou déclencher des avertissements de navigateur.

Pour les navigateurs basés sur le chrome comme Chrome, Microsoft Edge, Browservenom ajoute un argument proxy-serveur et modifie les fichiers de raccourci LNK existants. Pour les navigateurs à base de gecko tels que Mozilla Firefox et Tor, l’implant modifie les préférences de profil de l’utilisateur pour obtenir le même effet.

Les chercheurs ont déclaré que l’analyse du code source des sites de phishing et de distribution avait révélé des commentaires fonctionnels écrits en russe, un indicateur que l’infrastructure a probablement été développée par des acteurs de la menace russe.

Kaspersky a détecté plusieurs infections au Brésil, à Cuba, au Mexique, en Inde, au Népal, en Afrique du Sud et en Égypte.

Utiliser le captcha comme un coup

Pour ajouter une légitimité à leur fonctionnement et à la suspicion des utilisateurs inférieurs, les attaquants ont intégré les faux CAPTCHA défis deux fois dans la chaîne d’attaque. Le premier apparaît lorsqu’un utilisateur clique sur le bouton «Essayez maintenant» sur le site Web de téléchargement de profondeur malveillant, déclenchant un CAPTCHA de leurre imitant la vérification standard.

Fait intéressant, le code CAPTCHA vérifie si l’utilisateur est un humain. « Cliquer sur ce bouton amènera l’utilisateur à un écran anti-bot CAPTCHA », ont noté les chercheurs. « Le code de cet écran est obscurci JavaScript, qui effectue une série de vérifications pour s’assurer que l’utilisateur n’est pas un bot. »

Après une réussite du CAPTCHA, l’utilisateur est redirigé vers une page avec le bouton «Télécharger» pour l’installateur malveillant (Ai-Launcher-1.21.exe). Ce programme d’installation malveillant, qui lance finalement Browservenom, gère un binaire qui invoque le deuxième captcha, obligeant les utilisateurs à cocher une boîte marquée «Je ne suis pas un robot», imitant une vérification sur le thème de Cloudflare.

La vérification de cette case conduit l’utilisateur à un écran, ce qui les incite à choisir entre un téléchargement «olllama» ou «LM Studio», des plates-formes qui permettent d’exécuter Deepseek localement sur les machines utilisateur. Indépendamment du choix, Browservenom est téléchargé et exécuté. Les acteurs de la menace transforment de plus en plus les écrans CAPTCHA en appâts d’ingénierie sociale, en les utilisant pour masquer la livraison de logiciels malveillants derrière une légitimité. Plus tôt ce mois-ci, une campagne de phishing a été révélée en train de truquer Cloudflare Turnique Captcha pour inciter les utilisateurs à des commandes malveillantes de copie.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen