1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散

サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散

セキュリティニュース

投稿日時: 更新日時:

サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散

カスペルスキーは、サイバー攻撃者が偽のDeepSeekのダウンロードサイトを利用しマルウェア(トロイの木馬)を拡散している事を指摘しています。

偽 DeepSeekの概要

DeepSeekとはOpenAIのGPTシリーズやGoogleのGeminiなどと同様に、強力な言語理解・生成能力を備えた大規模言語モデル(LLM)をベースにしています。

世界中の人気に便乗して、サイバー犯罪者たちがDeepSeekの名前を利用したマルウェア拡散キャンペーンを開始。偽のDeepSeekクライアントを配布することで、ユーザーの個人情報や企業の機密情報を不正に取得しようとする攻撃が確認されています。

攻撃手法

サイバー犯罪者は、「r1-deepseek[.]net」や「v3-deepseek[.]com」などのドメイン名で偽のDeepSeek公式サイトを作成し、

フィッシングサイトへユーザーを誘導していました。

これらの偽サイトには、本物のサイトには存在しない「Windowsクライアントアプリケーション」のダウンロードを促すボタンが設置されていました。

「Get DeepSeek App」を選択すると「deep-seek-installation.zip」というアーカイブファイルがダウンロードされます。

偽のDeepSeekダウンロードサイト

画像:カスペルスキー

前段のファイルにはsvchost.exepython.pyという2つのファイルが含まれていました。

マルウェアの実行

一見するとsvchost.exeはWindowsの正規プロセスを装っており、ユーザーに怪しまれないように偽装されています。しかし実際には、これはPython実行ファイルであり、悪意のあるスクリプトを起動するためのカモフラージュに過ぎません。

そしてpython.pyは、今回の攻撃で初めて確認されたPythonで記述されたインフォステーラー型マルウェアでした。

このスクリプトは、被害者の端末から多岐にわたる情報を不正に収集するよう設計されており、Webブラウザのクッキーやセッショントークン、メールアカウントのログイン情報、オンラインゲームのアカウント情報、特定の拡張子を持つファイル、さらには暗号資産ウォレットの情報までもがターゲットとなっていました。

窃取した情報を送信

このインフォステーラー型マルウェアは、収集した情報を攻撃者に送信するため、2つの方法を駆使していました。

1つはTelegramのボット機能を利用する手法で、攻撃者が事前に用意したボットを通じて、リアルタイムで被害者のデータを取得していました。

もう1つの手法は、ファイル共有サービス「Gofile」を利用する方法です。

偽のDeepSeekを使用しようとすると、被害者はソーシャル メディアへのアクセス、個人データ、さらには暗号通貨を失う可能性があります。侵害されたデバイスに企業の認証情報が保存されている場合、組織全体が危険にさらされ、はるかに深刻な結果につながる可能性があります。

また、別のフィッシングサイトでは以下ドメインでの活動も確認されています。

  • deepseekpcai[.]com
  • deepseekaisoft[.]com

SNS「X」を利用したフィッシングサイト拡散戦略

このサイバー攻撃はSNSでも拡散されており、特に「X(旧Twitter)」での拡散が目立っています。

  • 偽サイト「deepseek-pc-ai[.]com」のリンクが、オーストラリアの企業アカウントから投稿され、120万回以上の閲覧数を記録。
  • リポストの多くはボットによるものと推測されており、同様の手口で「deepseek-ai-soft[.]com」も拡散されています。
  • 投稿は、意図的に実在企業や信頼性のあるアカウントを装って行われ、ユーザーを安心させてクリックを誘発する巧妙な手口が確認されました。

投稿のリンクをクリックした場合、ユーザーはマルウェアが含まれたインストーラファイルのダウンロードを促されます。このインストーラは、PowerShellスクリプトを利用して被害者の端末にリモートアクセスを可能にする設定を行い、攻撃者のコントロール下に置く仕組みです。

SNS「X」を利用したフィッシングサイト拡散戦略

画像:カスペルスキー

中国語ユーザーを狙ったバックドア攻撃

別の偽のDeepSeekのダウンロードサイトでは中国語のユーザーをターゲットにしていると思われるものもあります。

これらの攻撃は、より高度な技術を持つユーザーをターゲットにしています。

ダウンロードされる悪意のあるペイロードは、DeepSeek などの LLM をローカル ハードウェアで実行するためのフレームワークである Ollama を模倣しており、被害を検知する事が難しくなります。

 

侵害の兆候

MD5

4ef18b2748a8f499ed99e986b4087518
155bdb53d0bf520e3ae9b47f35212f16
6d097e9ef389bbe62365a3ce3cbaf62d
3e5c2097ffb0cb3a6901e731cdf7223b
e1ea1b600f218c265d09e7240b7ea819
7cb0ca44516968735e40f4fac8c615ce
7088986a8d8fa3ed3d3ddb1f5759ec5d

悪意のあるドメイン

r1-deepseek[.]net
v3-deepseek[.]com
deepseek-pc-ai[.]com
deepseek-ai-soft[.]com
app.delpaseek[.]com
app.deapseek[.]com
dpsk.dghjwd[.]cn
deep-seek[.]bar
deep-seek[.]rest
v3-grok[.]com

 

参照

Trojans disguised as AI: Cybercriminals exploit DeepSeek’s popularity

 

関連記事

DeepSeekは悪意のあるプロンプトを容易に生成、簡単に脱獄も 海外企業調査DeepSeekは悪意のあるプロンプトを容易に生成・脱獄も可 海外企業調査 AIの脱獄(ジュエルブレイク)テストでDeepSeekがChatGPT、Geminiと比較AIの脱獄(ジュエルブレイク)テストでDeepSeekは攻撃成功率が100% DeepSeekのデータベースから約100万件超の機密情報が漏洩かDeepSeekのデータベースから約100万件超の機密情報が公開 米「カスペルスキー」が正式に閉鎖米「カスペルスキー」が正式に閉鎖 アメリカでウイルス対策ソフトの「カスペルスキー」が利用禁止にアメリカでセキュリティソフトの「カスペルスキー」が禁止に デンマークでもセキュリティソフトの「カスペルスキー」が利用禁止にデンマークでもセキュリティソフトの「カスペルスキー」が利用禁止に Microsoft、DeepSeekがOpenAIのデータを不正入手したとして調査Microsoft、DeepSeekがOpenAIのデータを不正入手したとして調査 DeepSeek(ディープシーク)とは?何がすごい?セキュリティの懸念を解説DeepSeek(ディープシーク)とは?何がすごい?セキュリティの懸念を解説 米海軍、セキュリティと倫理的な懸念からDeepSeekの使用を禁止米海軍、セキュリティと倫理的な懸念からDeepSeekの使用を禁止