Selon un article publié par The Register, des cybercriminels ont créé un faux installateur pour le modèle d’IA chinois DeepSeek-R1, y intégrant un malware inédit nommé ‘BrowserVenom’.
Ce malware est capable de rediriger tout le trafic des navigateurs via un serveur contrôlé par les attaquants, permettant ainsi le vol de données, la surveillance des activités de navigation et l’exposition potentielle de trafic en clair. Les informations sensibles telles que les identifiants de connexion, les cookies de session, les informations financières, ainsi que les emails et documents sensibles sont à risque.
À ce jour, le malware a infecté plusieurs ordinateurs dans des pays tels que le Brésil, Cuba, Mexique, Inde, Népal, Afrique du Sud, et Égypte. Kaspersky a identifié une campagne de phishing qui propage le malware en dirigeant les victimes vers un faux site web ressemblant à la page d’accueil de DeepSeek.
Cette campagne utilise des sites de phishing dont les noms de domaine diffèrent légèrement de ceux des véritables fournisseurs d’IA, et les criminels achètent des annonces malveillantes pour apparaître en tête des résultats de recherche. L’adresse utilisée dans cette campagne était https[:]//deepseek-platform[.]com, promue via des annonces Google. Cet article est une analyse de menace mettant en lumière les méthodes employées par les cybercriminels pour exploiter l’intérêt pour l’IA.
🧠 TTP et IOC détecté
TTP
T1566.002 - Spearphishing Link, T1071.001 - Web Protocols, T1557.001 - Man-in-the-Middle, T1203 - Exploitation for Client Execution, T1189 - Drive-by Compromise, T1070.004 - File Deletion
IOC
https[:]//deepseek-platform[.]com
🔗 Source originale : https://www.theregister.com/2025/06/11/deepseek_installer_or_infostealing_malware/