구글 광고가 가짜 DeepSeek 맬웨어를 퍼뜨리는 데 사용되었다

사이버 보안 연구자들은 인기 있는 AI 챗봇 DeepSeek-R1의 사용자들을 대상으로 하는 위험한 새로운 악성 소프트웨어 캠페인을 식별했습니다.

Kaspersky의 사이버보안 연구원들은 공격자들이 Google Ads를 사용하여 사이트의 가짜 버전을 홍보하고, 모델의 인기를 이용하여 사용자들을 해로운 소프트웨어를 다운로드하도록 속이고 있다고 보고했습니다.

해당 악성 광고는 사용자들을 “‘deepseek-platform[.]com'”이라는 가짜 웹사이트로 유도합니다. 이 웹사이트는 공식 DeepSeek 사이트를 모방하고 있습니다. 사용자들이 “지금 시도하기” 버튼을 클릭하면, 가짜 CAPTCHA가 나타나고, 그 다음에는 DeepSeek 인스톨러인 것처럼 보이는 파일을 다운로드하라는 요청이 표시됩니다. 이 파일, ‘AI_Launcher_1.21.exe’라고 명명된 것은 실제로는 복잡한 악성 소프트웨어 연쇄입니다.

인스톨러는 두 번째 가짜 CAPTCHA를 띄운 후, Ollama와 LM Studio와 같은 유명한 AI 도구들을 설치하도록 제안합니다. 그러나 배경에서는 숨겨진 코드가 실행되어 감염을 시작합니다. 먼저, 사용자의 폴더를 Windows Defender에서 제외함으로써 안티바이러스 소프트웨어를 우회하려고 시도합니다. 그 다음, 또 다른 신뢰할 수 없는 도메인에서 더 많은 악성 소프트웨어를 다운로드하려고 시도합니다.

최종 페이로드인 BrowserVenom은 공격자가 운영하는 프록시 서버를 통해 모든 웹 트래픽을 리디렉션하는 브라우저 설정을 수정합니다. 이를 통해 그들은 사용자 데이터와 온라인 활동을 모니터링할 수 있습니다. 이 악성소프트웨어는 시스템에 가짜 인증서를 추가하며, Firefox와 Tor에서 브라우저 단축키와 설정을 변경합니다.

연구자들은 이 공격이 이미 브라질, 쿠바, 멕시코, 인도, 네팔, 남아프리카, 이집트에서의 사용자들을 대상으로 하고 있다고 지적했습니다.

“우리가 보고 왔던 것처럼, DeepSeek는 공격자들이 새로운 피해자를 끌어들이기에 완벽한 미끼가 되었습니다,”라고 연구자들은 말했습니다. 그들은 사용자들에게 소프트웨어를 다운로드 받기 전에 심지어 검색 결과에서조차도 웹사이트의 URL과 인증서를 반드시 다시 확인하라고 경고하였습니다. 이런 함정에 빠지지 않기 위해서요.