Gefälschte DeepSeek-Webseiten werden für Malware-Verbreitung eingesetzt

Die Verbreitung generativer KI-Modelle schreitet rasant voran, was nicht nur innovative Möglichkeiten für Anwender schafft, sondern auch neue Angriffsflächen für Cyberkriminelle bietet. Ein aktueller Bericht des ThreatLabz-Teams von Zscaler zeigt, dass der KI-Chatbot DeepSeek ins Visier von Bedrohungsakteuren geraten ist. Diese nutzen gezielte Methoden, um ahnungslose Nutzer zu täuschen und schädliche Software zu verbreiten. Missbrauch durch gefälschte Webseiten und Identitätsdiebstahl Eine der hauptsächlichen Angriffstaktiken ist die sogenannte „Brand Impersonation“. Dabei erstellen Kriminelle täuschend echt aussehende Webseiten, die DeepSeek imitieren. Diese gefälschten Seiten dienen verschiedenen Zwecken: Sie verleiten Nutzer zur Preisgabe sensibler Daten, sie verbreiten Malware, sie können Teil von betrügerischen Finanz- oder Identitätsdiebstahl-Kampagnen sein. ThreatLabz konnte eine Vielzahl solcher betrügerischen Domains aufdecken, die speziell darauf ausgelegt sind, Nutzer in die Falle zu locken. Besonders perfide sind Angriffe, die durch gefälschte CAPTCHAs initiiert werden: Nutzer glauben, eine Sicherheitsabfrage zu bestätigen, während im Hintergrund ein schädlicher PowerShell-Befehl in die Zwischenablage kopiert wird. Wird dieser ausgeführt, installiert sich die Vidar-Malware, die Zugangsdaten, Kryptowährungs-Wallets und weitere vertrauliche Informationen stiehlt. Neue Angriffsmethoden: Clipboard-Injektion und C&C-Verschleierung Neben klassischen Phishing-Methoden setzen die Angreifer moderne Techniken wie die Clipboard-Injektion ein. Dabei wird heimlich Schadcode in die Zwischenablage eines Nutzers eingefügt, der beim Einfügen ausgeführt wird. Zudem nutzen Cyberkriminelle legitime Plattformen wie Telegram und Steam, um die Command-&-Control-Kommunikation (C&C) zu verschleiern und so ihre Spuren zu verwischen. Ein klares Indiz für bösartige Aktivitäten sind neu registrierte Domains. Laut dem „State of Encrypted Attacks“-Report von Zscaler wurde im vergange