اكتشفت شركة كاسبرسكي عدة مجموعات من مواقع الويب التي تقلد المواقع الرسمية لروبوتات المحادثة DeepSeek وGrok. وتوزع المواقع المزيفة برامج ضارة تحت ستار عملاء روبوتات محادثة وهمية لنظام التشغيل Windows.
في أوائل عام 2025، ظهر روبوت المحادثة الصيني، DeepSeek، بقوة على ساحة الذكاء الاصطناعي. وأثار الكثير من التعليقات والجدل في جميع أنحاء العالم: استطاعت شركة كاسبرسكي بالكاد ألا تلاحظ تشابه شعاره مع شعارهم، وكثرت المقارنات مع ChatGPT، وفي إيطاليا وكوريا الجنوبية وأستراليا ودول أخرى، تم حظر DeepSeek تمامًا. وكانت الضجة حول هذه القضية – ولا تزال – شديدة، بما في ذلك بين مجرمي الإنترنت.
اكتشفنا عدة مجموعات من المواقع التي تقلد الموقع الرسمي لروبوت المحادثة وتوزع تعليمات برمجية ضارة تحت ستار ما يبدو أنه عميل شرعي. ولمعرفة كيفية عمل هؤلاء هؤلاء المجرمين الإلكترونيين بالضبط، وكيفية استخدام الذكاء الاصطناعي بأمان .
البرامج النصية الضارة وتحديد الموقع الجغرافي
تم اكتشاف عدة مخططات لتوزيع البرامج الضارة، وكان القاسم المشترك بينها جميعًا استخدام مواقع ويب DeepSeek المزيفة. ويكمن الاختلاف في ما تم توزيعه عبر هذه المواقع وكيف تم ذلك. ويستكشف هذا المنشور أحد هذه المخططات بالتفصيل؛ وللحصول على تفاصيل عن المخططات الأخرى، اطلع على تقريرنا الكامل على Securelist.
ما الذي ستفكر فيه إذا وصلت إلى موقع ويب يحمل النطاق deepseek-pc-ai[.]com أو deepseek-ai-soft[.]com؟ ربما ستفترض أنك تستطيع أن تجد هناك بعض البرامج المرتبطة بموقع DeepSeek. وما نوع هذا البرنامج؟ عميل DeepSeek، بالطبع! وبالفعل، سترى سريعًا زي تنزيل الساطع وزر البدء الآن الأكثر خفوتًا اللذين يستقبلان زوار الموقع.
بغض النظر عن الزر الذي تنقر عليه، سيبدأ تنزيل برنامج التثبيت. لكن هناك خدعة: بمجرد البدء، بدلًا من تثبيت DeepSeek، يصل برنامج التثبيت إلى عناوين URL ضارة، ويتلاعب بالبرامج النصية لتفعيل خدمة SSH في Windows وتكوينها للعمل مع مفاتيح المهاجمين. ويتيح لهم هذا الاتصال عن بعد بجهاز كمبيوتر الضحية، الذي لا يحصل حتى على عميل DeepSeek لنظام Windows كعزاء… والذي يكون، بالمناسبة، غير موجود.
ومن المثير للاهتمام أن المواقع المزيفة تستخدم تقنية تحديد المواقع الجغرافية – مما يقيد الوصول استنادًا إلى منطقة عنوان IP. على سبيل المثال، رأى المستخدمون من روسيا على هذه النطاقات موقعًا بسيطًا يحتوي على نصوص فارغة حول DeepSeek – على الأرجح تم إنشاؤه بواسطة DeepSeek نفسه أو نموذج لغوي كبير آخر. أما الزوار من دول أخرى، فقد تم توجيههم إلى الموقع الخبيث الذي يوزع العميل المزيف.
مليون مشاهدة على X
كانت الطريقة الرئيسية لتوزيع الروابط إلى عناوين URL الضارة هي المنشورات على شبكة التواصل الاجتماعي X (تويتر سابقًا). وكان أحد المنشورات الأكثر انتشارًا (تم حذفه الآن) قد نُشر من حساب شركة Lumina Vista الأسترالية الناشئة، والتي، وفقًا للمصادر المفتوحة، لا يزيد عدد موظفيها عن 10 أفراد. وحساب الشركة نفسه حديث النشأة: لم يحصل على علامة التحقق الزرقاء المرغوبة إلا في فبراير 2025، ويضم اثني عشر منشورًا فقط وأقل من 100 مشترك. ورغم ذلك، حقق المنشور الذي يروج لموقع DeepSeek المزيف 1.2 مليون مشاهدة وأكثر من 100 إعادة نشر.
أليس الأمر مريبًا بعض الشيء؟ أجرينا تحقيقات بشأن الحسابات التي أعادت نشر هذا المنشور، وخلصنا إلى أنها قد تكون روبوتات، حيث تستخدم جميعها اصطلاح التسمية والمعرفات نفسها في قسم السيرة الذاتية وبالمناسبة، من المحتمل جدًا أن يكون حساب Lumina Vista قد تعرض للاختراق ببساطة وتم استخدامه للترويج المدفوع لمنشور إعلان المهاجمين.
في التعليقات، أشار بعض المستخدمين إلى أن الرابط يؤدي إلى موقع ضار، لكنهم كانوا أقلية — أما البقية فكانوا يعبرون ببساطة عن آرائهم عن DeepSeek وGrok وChatGPT. ومع ذلك، لم يلاحظ أي من المعلقين الأمر الواضح: ليس لدى DeepSeek عميل أصلي لنظام التشغيل Windows، ولا يمكنك الوصول إليه إلا من خلال متصفح. ويمكنك أيضًا تشغيل DeepSeek محليًا لكن هذا يتطلب برنامجًا متخصصًا.
كيفية استخدام الذكاء الاصطناعي بأمان
في الوقت الحالي، ليس من السهل تقييم حجم هذه المخططات الضارة وغيرها التي تتضمن صفحات DeepSeek مزيفة. لكن هناك أمر واحد مؤكد: هذه الحملات ضخمة ولا تستهدف مستخدمين محددين. لكنها تتطور بسرعة كبيرة: بعد وقت قصير من الإعلان عن Grok-3، بدأ المهاجمون في عرض تنزيل عميله من كل من النطاق v3-grok[.]com، ومن… v3-deepseek[.]com! في الواقع، Grok وDeepSeek – ما الفرق؟…
بدون حماية موثوقة، فإن أي متحمس للذكاء الاصطناعي معرض للخطر. ولهذا السبب، من الضروري اتباع قواعد وتوصيات السلامة عند استخدام الذكاء الاصطناعي.
- تحقق من عناوين URL للمواقع التي تزورها. خاصة عندما يتعلق الأمر بشيء جديد، وشائع، وسهل التقليد.
- قم بتصفية البيانات الحساسة. وتذكر أن ما تكتبه إلى برنامج المحادثة الآلي يمكن استخدامه ضدك: كما هو الحال مع خدمات السحابة الأخرى، يمكن أن تتسرب البيانات بسبب عيوب الأمان أو اختراق الحساب.
- احرص على حماية أجهزتك. احرص على الاطلاع على التقييمات واختر الحل الأفضل لك الذي سيكتشف مواقع التصيد الاحتيالي ويحمي من تنزيل البرامج الضارة.
- قلل من استخدام المكونات الإضافية التابعة لجهات خارجية. وسيتسبب كل تطبيق إضافي في تهديدات جديدة. وهناك حاجة إلى مراقبة خاصة لمكونات التنفيذ التي يمكنها، على سبيل المثال، تشغيل تعليمات برمجية ضارة لشراء تذكرة طائرة على نفقتك الخاصة.
{ إِنَّ اللَّهَ وَمَلَائِكَتَهُ يُصلُّونَ عَلَى النَّبِيِّ يَا أَيُّهَا الَّذينَ آمَنُوا صَلُّوا عَلَيْهِ وَسَلِّمُوا تسلِيماً } ﷺ
{ إِنَّ اللَّهَ وَمَلَائِكَتَهُ يُصلُّونَ عَلَى النَّبِيِّ يَا أَيُّهَا الَّذينَ آمَنُوا صَلُّوا عَلَيْهِ وَسَلِّمُوا تسلِيماً } ﷺ
0تعليقات