Wouter Hoeffnagel - 04 april 2025

'Cybercriminelen zetten DeepSeek in voor misleiden van gebruikers'

Cybercriminelen hebben nep-websites gecreëerd die sterk lijken op DeepSeek om gebruikers te misleiden en malware te verspreiden. Deze malwarecampagne maakt gebruik van een valse CAPTCHA-pagina, waarbij een PowerShell-opdracht naar het klembord van de gebruiker wordt gekopieerd. Dit leidt tot de uitvoering van de Vidar-malware of het stelen van gevoelige gegevens. Het is daarom van cruciaal belang dat organisaties strikte beleidsregels en beveiligingscontroles implementeren die het gebruik van generatieve AI-modellen en -tools in hun omgeving regelen, om zo dergelijke bedreigingen effectief te kunnen afwenden.

'Cybercriminelen zetten DeepSeek in voor misleiden van gebruikers' image

Hiervoor waarschuwt Zscaler ThreatLabz, dat onderzocht hoe kwaadwillenden DeepSeek inzetten voor het misleiden van gebruikers, met als doel diefstal van gevoelige gegevens en het uitvoeren van malware. ThreatLabz identificeerde daarbij diverse domeinen die gebruikmaken van de populariteit van DeepSeek en de officiële website en gelieerde websites imiteren. Deze frauduleuze domeinen worden gebruikt om verschillende kwaadaardige activiteiten te faciliteren, waaronder cryptocurrency pump-and-dump-schema’s, het hosten van nepforums die zijn ontworpen om gegevens te stelen, valse cadeaubonfraude en nep-goksites.

Nieuw geregistreerde domeinen zijn vaak een rode vlag voor kwaadaardige activiteiten. ThreatLabz registreerde vorig jaar een toename van 400+% in gecodeerde aanvallen vanaf nieuw geregistreerde domeinen. Deze timing wijst erop dat de cybercriminelen achter de nep-DeepSeek-website proberen te profiteren van de aandacht en impact die DeepSeek in verschillende sectoren heeft gegenereerd.

Aanval start met nepdomein

De malwarecampagne begint met aanvallers die een nepdomein maken dat DeepSeek nabootst. Deze nep-website vraagt bezoekers om een registratieproces te voltooien en stuurt ze door naar een nep-CAPTCHA-pagina.

Zodra de gebruiker op de checkbox ‘ik ben geen robot’ klikt, kopieert JavaScript automatisch schadelijke code naar het klembord van de gebruiker en vraagt hen om een opdracht uit te voeren. Als de gebruiker deze PowerShell-opdracht uitvoert, wordt een gecomprimeerd Vidar-executable gedownload en uitgevoerd.

Zodra Vidar-malware op het systeem van het slachtoffer wordt uitgevoerd, start het met zijn primaire doel: het verzamelen van gevoelige gegevens. Deze gegevens omvatten gebruikersreferenties, cryptocurrency wallet-informatie, browsercookies en persoonlijke bestanden.

AI biedt kansen voor cybercriminelen

De populariteit van DeepSeek en de snelheid waarmee cybercriminelen het inzetten om lookalike-domeinen te maken, benadrukt hoe gevoelig AI-technologie kan zijn. Hoewel AI een geweldig hulpmiddel is voor productiviteit, biedt het ook meer mogelijkheden voor misbruik door cybercriminelen. Bovendien stelt de verspreiding van AI cybercriminelen in staat om geavanceerdere en effectievere aanvallen uit te voeren.

Nu de acceptatie van AI blijft toenemen, moeten organisaties waakzaam blijven en hun verdediging aanscherpen om misbruik van AI-technologie te voorkomen. Zscaler ThreatLabz blijft zich inzetten om deze dreigingen te ontdekken en te bestrijden.

Lees hier de volledige technische analyse van deze campagne.

Trend Micro World Tour 2025 Axians NaaS C BW + BN
Trend Micro World Tour 2025

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!