DeepSeek se convirtió en cebo. Y tú… en la presa

Mientras crece la popularidad de los modelos de lenguaje, los ciberdelincuentes aprovechan cada vez más esta tendencia para lanzar sus ataques. Uno de los objetivos de una nueva campaña maliciosa ha sido DeepSeek-R1, una de las herramientas de IA más solicitadas actualmente. Los usuarios que buscan sitios para usar el chatbot basado en este modelo suelen terminar en páginas maliciosas disfrazadas de sitios oficiales.

Expertos de Kaspersky detectaron una nueva ola de ataques utilizando un instalador falso de DeepSeek-R1 distribuido a través de un sitio de phishing, promocionado activamente mediante anuncios en los resultados de búsqueda de Google. El sitio era visualmente casi idéntico al original y detectaba automáticamente el sistema operativo del visitante. Para usuarios de Windows aparecía un botón “Try now” que redirigía a una pantalla con CAPTCHA falsa —supuestamente para protección contra bots.

Tras completar la CAPTCHA, el usuario era llevado a una página con el botón “Download now”, que al hacer clic descargaba un archivo ejecutable llamado AI_Launcher_1.21.exe desde otro dominio fraudulento. Dentro de ese instalador se ocultaba la siguiente etapa del ataque. Al ejecutarse, mostraba otra CAPTCHA falsa y ofrecía instalar programas de IA como Ollama o LM Studio. Pero simultáneamente se activaba la función oculta MLInstaller.Runner.Run(), que lanzaba el módulo malicioso.

En la primera etapa, se ejecutaba un comando PowerShell cifrado que excluía la carpeta del usuario de la protección de Microsoft Defender. El algoritmo de cifrado utilizado era AES-256-CBC, con clave e IV codificados directamente en el archivo malicioso. El comando requería privilegios de administrador para ejecutarse.

Luego se ejecutaba un segundo script PowerShell que descargaba un archivo malicioso desde un dominio generado mediante un mecanismo DGA simple. El archivo se guardaba en la carpeta “Música” bajo el nombre 1.exe y se ejecutaba. Al momento del análisis, solo un dominio estaba activo —app-updater1[.]app— pero ya había dejado de funcionar, lo que indica una posible preparación para la siguiente etapa del ataque.

La tercera fase consistía en descifrar un segundo ejecutable codificado dentro del instalador y ejecutarlo en la memoria. Este módulo fue nombrado BrowserVenom y se convirtió en el componente central de toda la campaña. Su objetivo principal era interceptar todo el tráfico de internet del usuario redirigiendo los navegadores a través de un proxy controlado por los atacantes.

BrowserVenom primero verificaba si el proceso tenía privilegios de administrador. Si era así, instalaba el certificado de los atacantes en el almacén de certificados raíz de confianza del sistema. Luego modificaba los parámetros de los navegadores más populares: los navegadores basados en Chromium —como Chrome, Edge, Opera, Brave, entre otros— eran reconfigurados añadiendo el argumento --proxy-server, y los accesos directos (archivos LNK) eran reescritos automáticamente. Para Firefox y Tor Browser se modificaba el perfil del usuario.

El servidor proxy de los atacantes se ubicaba en la dirección 141.105.130[.]106, puerto 37121. Además, se añadía un identificador de campaña (LauncherLM) y una cadena aleatoria (HWID) al User-Agent del navegador, lo que permitía rastrear a las víctimas.

El código de las páginas de phishing contenía comentarios en ruso. La geografía de las infecciones confirma el amplio alcance de la campaña: se detectaron casos en Brasil, Cuba, México, India, Nepal, Sudáfrica y Egipto.

La amenaza, identificada como HEUR:Trojan.Win32.Generic y Trojan.Win32.SelfDel.iwcv, demuestra la eficacia con la que los atacantes explotan el interés por la IA. El uso de Google Ads como medio para promocionar el enlace malicioso hace que esta campaña sea especialmente peligrosa para el público general, sobre todo si los usuarios no verifican el dominio o el certificado del software descargado.

Para protegerse contra este tipo de ataques, es imprescindible comprobar que el sitio realmente pertenezca al desarrollador del modelo al que hace referencia el enlace. Incluso una posición destacada en los resultados de búsqueda hoy puede llevar a la infección del sistema.