Die rasante Verbreitung generativer KI-Anwendungen schafft neue Gelegenheiten für Cyberkriminelle, wie das ThreatLabz-Team von Zscaler unlängst aufdeckte. Der im Januar vorgestellte AI-Chatbot Deepseek hat so schnell die Aufmerksamkeit der Massen erreicht, dass er ins Visier von Malware-Akteuren geraten ist. Bedrohungsakteure missbrauchen die Popularität von Deepseek und setzten die Taktik der „Brand Impersonation“ ein. Dafür werden gefälschte Webseiten erstellt, die Deepseek imitieren und User zur Preisgabe von sensiblen Informationen verleiten oder zur Verbreitung von Malware dienen. Darüber hinaus werden in der Angriffskette Techniken wie Clipboard-Injektion eingesetzt, um bösartige Powershell-Kommandos auszuliefern. Die legitimen Plattformen Telegram und Steam dienen der Verschleierung von Command & Control-Kommunikation.
ThreatLabz hat eine Reihe von neu angelegten Domains identifiziert, die die offizielle Deepseek-Webseite nachahmen. Über diese schädlichen Domains werden unterschiedliche Aktivitäten wie Kryptowährungs-Pump&Dump-Schemen umgesetzt, gefälschte Foren zum Abgreifen von User-Anmeldedaten, Geschenkkarten-Scams oder gefälschte Glücksspielseiten. Eine dieser Kampagnen nutzt gefälschte CAPTCHAs, die dem User vorgaukeln, den Registrierungsprozess abzuschließen und dabei heimlich einen bösartigen Powershell-Befehl in die Zwischenablage kopiert. Führt der User diesen aus, wird die Vidar-Malware heruntergeladen, die Zugangsdaten, Kryptowährungs-Wallets und weitere sensible Daten stiehlt.
Neu registrierte Domänen sind oft ein erstes Warnzeichen für bösartige Aktivitäten, wie der State of Encrypted Attacks-Report von Zscaler belegt. Allein im letzten Jahr wurde ein 400-prozentiger Anstieg von verschlüsselten Angriffen festgestellt, die neu registrierte Domains einsetzten. Die zeitliche Nähe zu der aufkommenden Popularität von Deepseek legt nahe, dass die Bedrohungsakteure von der Aufmerksamkeit rund um das neue KI-Tool profitieren möchten.
Fazit
Die DeepSeek-Kampagne zeigt, wie schnell Cyberkriminelle auf die sich rasant ausbreitende Nutzung neuer Technologien reagieren, um diese für ihre Zwecke zu missbrauchen. Unternehmen sollten zum Schutz ihrer User und Daten klare Vorgaben zur Nutzung generativer KI und umfassende Sicherheitskontrollen implementieren. Darüber hinaus müssen sie Aufklärung der User betreiben, um diese für betrügerische Webseiten zu sensibilisieren.
Info: Eine detaillierte Analyse der neuen Malware-Kampagnen ist im Zscaler-Blog nachzulesen.
#Zscaler
powered by Borlabs Cookie 