
Malware finge ser assistente de IA para roubar dados de brasileiros
Kaspersky revela que golpistas estão usando anúncios no Google e um aplicativo falso de IA para instalar programa que coleta dados de vítimas. Os usuários são direcionados para um site de phishing que se assemelha a plataforma DeepSeek.
Pesquisadores da equipe Kaspersky descobriram que criminosos estão utilizando um aplicativo falso de inteligência artificial (chamado DeepSeek-R1) como isca para que vítimas instalem um programa malicioso que rouba dados. Para isso, os criminosos espalham o aplicativo através de sites falsos e até usam anúncios no Google para que pessoas instalem um programa malicioso chamado BrowserVenom, que desvia todo o tráfego de internet para servidores que pertencem aos criminosos. Foram detectadas múltiplas infecções no Brasil, em Cuba, México, Índia, Nepal, África do Sul e Egito.
Ao clicarem nos links disseminados pelos criminosos por meio de sites falsos e anúncios no Google, os usuários são direcionados para um site de phishing que se assemelha a plataforma DeepSeek, sendo que o site fraudulento é exibido quando o usuário pesquisa por “deepseek r1”. O DeepSeek-R1 é um dos LLMs (tipo de inteligência artificial projetado para entender e gerar texto de forma semelhante à linguagem humana) mais populares no momento e não é a primeira vez que o programa é utilizado para atrair vítimas.
Assim que o usuário chega ao site do DeepSeek falso, é realizada uma verificação para identificar o sistema operacional da vítima. Se é Windows, aparece um botão para o usuário baixar as ferramentas para trabalhar off-line com o LLM. Até o momento da divulgação, outros sistemas operacionais não são visados.
Depois de clicar no botão e passar pelo teste de CAPTCHA, um arquivo de instalação malicioso é baixado e o usuário vê opções para realizar o download e instalar os programas para uso offline. Se escolher alguma dessas opções, juntamente com os instaladores legítimos, um malware também é instalado no sistema, contornando a proteção do Windows Defender com um algoritmo especial. Esse procedimento também exige um perfil de usuário do Windows com privilégios de administrador.
Após a instalação do malware, o programa malicioso configura todos os navegadores da Web no sistema para usar obrigatoriamente um proxy controlado pelos criminosos, permitindo que os criminosos espionem dados de navegação confidenciais e monitorem a atividade da vítima. Por conta de sua natureza impositiva e seu objetivo malicioso, os pesquisadores da Kaspersky chamaram esse malware de “BrowserVenom”.
“Embora a execução de grandes modelos de linguagem off-line ofereça vantagens em termos de privacidade e reduza a dependência em serviços de nuvem, também pode trazer riscos importantes, caso não sejam tomadas as devidas precauções. Os cibercriminosos estão cada vez mais explorando a popularidade de ferramentas de IA de código aberto, distribuindo pacotes maliciosos e instaladores falsos capazes de instalar keyloggers, mineradores de criptomoeda (cryptominers) ou ladrões de informações (infostealers) secretamente. Essas ferramentas falsas comprometem dados confidenciais e representam uma ameaça, especialmente quando o usuário faz o download do instalador de fontes não verificadas”, comenta Lisandro Ubiedo, pesquisador de segurança da equipe Kaspersky GReAT.
Para evitar essas ameaças, a Kaspersky recomenda:
- Verifique os endereços dos sites para confirmar se são autênticos e evitar golpes: faça isso digitando a URL manualmente pelo navegador;
- Baixe ferramentas de LLM off-line somente de fontes oficiais (por exemplo, ollama.com, lmstudio.ai);
- Use soluções de segurança confiáveis para evitar a execução de arquivos maliciosos;
- Confirme se os resultados de pesquisas na Internet são realmente legítimos: evite clicar em links patrocinados;
- Evite usar perfis do Windows com privilégios de administrador.