شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): ما با چندین وب سایت رو به رو شدیم که با تقلید از وب سایت های رسمی چت بات های DeepSeek و Grok، اقدام به انتشار بدافزار می کنند. این وب سایت های جعلی، بدافزار را تحت عنوان نسخه ویندوزی این چت بات ها - که در واقع اصلا وجود خارجی ندارند - منتشر می کنند.
در اوایل سال ۲۰۲۵، چت بات چینی DeepSeek با ورود خود به عرصه هوش مصنوعی توجه بسیاری را به خود جلب کرد. این پلتفرم بحث ها و واکنش های گسترده ای را در سراسر جهان برانگیخت: مقایسه های فراوانی با ChatGPT صورت گرفت و در کشورهای مختلفی از جمله ایتالیا، کره جنوبی، استرالیا و چند کشور دیگر به طور کامل مسدود شد. این موج توجه - که همچنان ادامه دارد - حتی در میان مجرمان سایبری نیز تاثیرگذار بوده است.
ما با چندین گروه از وب سایت ها مواجه شدیم که وب سایت رسمی چت بات را تقلید کرده و کدهای مخرب را تحت عنوان یک نرم افزار ظاهرا قانونی منتشر می کنند. برای آشنایی با روش های فعالیت این مجرمان سایبری و همچنین راهکارهای استفاده ایمن از هوش مصنوعی، با ما همراه باشید...
اسکریپت های مخرب و موقعیت یابی جغرافیایی (Geofencing)چندین الگوی مختلف برای انتشار بدافزار شناسایی شد که وجه اشتراک همه آن ها، استفاده از وب سایت های جعلی DeepSeek بود. تفاوت این حملات در نوع بدافزار منتشر شده و شیوه توزیع آن ها از طریق این وب سایت هاست. در این مطلب، یکی از این روش ها به طور کامل بررسی شده است.
اگر وارد وب سایتی با دامنه هایی مثل deepseek-pc-ai[.]com یا deepseek-ai-soft[.]com شوید، احتمالا تصور می کنید قرار است نرم افزاری مرتبط با DeepSeek پیدا کنید. و واقعا هم با صفحه ای رو به رو می شوید که دکمه های "Download" و "Start Now" فورا جلوی چشمتان ظاهر می شوند.
صفحه وب جعلی DeepSeek
با کلیک روی هر کدام از این دکمه ها، فرآیند دانلود یک فایل نصبی آغاز می شود. اما نکته اینجاست: این فایل به جای نصب DeepSeek، به آدرس های اینترنتی مخرب متصل شده و اسکریپت هایی را اجرا می کند که سرویس SSH را در ویندوز فعال کرده و آن را برای استفاده با کلیدهای مهاجمان تنظیم می کند. به این ترتیب، مهاجمان می توانند از راه دور به سیستم قربانی دسترسی پیدا کنند و کاربر موفق به دریافت نرم افزار DeepSeek برای ویندوز نمی شود؛ زیرا چنین نرم افزاری اصلا وجود ندارد.
نکته جالب این است که وب سایت های جعلی از فناوری موقعیت یابی جغرافیایی (Geofencing) استفاده می کنند؛ یعنی دسترسی کاربران را بر اساس موقعیت جغرافیایی آدرس IP آن ها محدود می سازند. برای مثال، کاربران روسی هنگام ورود به این دامنه ها، تنها یک صفحه ساده و بی محتوا درباره DeepSeek مشاهده می کردند - متنی که احتمالا توسط خود DeepSeek یا یکی دیگر از مدل های زبانی بزرگ تولید شده بود. اما بازدید کنندگان از کشورهای دیگر به سایتی هدایت می شدند که نسخه جعلی این برنامه را منتشر می کرد.
یک میلیون بازدید در شبکه Xمسیر اصلی انتشار لینک به آدرس های مخرب، از طریق پست هایی در شبکه اجتماعی X (که پیش تر با نام توییتر شناخته می شد) صورت گرفت. یکی از پست های پربازدید (که اکنون حذف شده) از حساب کاربری یک استارتاپ استرالیایی به نام Lumina Vista منتشر شده بود. منابع عمومی نشان می دهند که این شرکت بیش از ۱۰ کارمند ندارد. حساب کاربری این شرکت نیز کاملا تازه تاسیس است: در فوریه ۲۰۲۵ موفق به دریافت تیک آبی شده، کمتر از ۱۰۰ دنبال کننده دارد و مجموعا حدود دوازده پست منتشر کرده است. با این حال، پستی که سایت جعلی DeepSeek را تبلیغ می کرد، بیش از ۱.۲ میلیون بازدید و بیش از ۱۰۰ بازنشر دریافت کرد. مشکوک به نظر نمی رسد؟ ما حساب هایی را که این پست را بازنشر کرده بودند بررسی کردیم و متوجه شدیم که احتمالا ربات هستند، چرا که همگی از الگوی نام گذاری یکسان و مشخصاتی مشابه در قسمت بیو استفاده می کنند. ناگفته نماند که ممکن است حساب کاربری Lumina Vista هک شده و برای تبلیغ پولی محتوای مهاجمان مورد سوء استفاده قرار گرفته باشد.
1.2 میلیون بازدید در یک حساب تقریبا خالی؟ بوی تبلیغات پولی می دهد!
در بخش نظرات، برخی کاربران هشدار داده بودند که لینک مورد نظر به یک سایت مخرب منتهی می شود، اما این افراد در اقلیت بودند - اکثر کاربران صرفا در حال اظهار نظر درباره DeepSeek ،Grok و ChatGPT بودند. با این حال، هیچ کدام به نکته ای بدیهی اشاره نکردند: DeepSeek اصلا نسخه ای برای ویندوز ندارد و تنها از طریق مرورگر قابل دسترسی است. البته می توان آن را به صورت محلی نیز اجرا کرد، اما این کار نیازمند نرم افزارهای تخصصی است.
چگونه از هوش مصنوعی به صورت ایمن استفاده کنیمدر حال حاضر ارزیابی دقیق ابعاد این کمپین ها و سایر طرح های مخرب مرتبط با صفحات جعلی DeepSeek آسان نیست. اما یک نکته کاملا روشن است: این حملات کاربران خاص یا اهداف مشخصی را نشانه نمی گیرند، بلکه به صورت گسترده و عمومی انجام می شوند. با این حال، روند گسترش آن ها بسیار سریع است؛ به طوری که تنها مدت کوتاهی پس از معرفی Grok-3، مهاجمان از طریق دامنه v3-grok[.]com و v3-deepseek[.]com تبلیغات مربوط به دانلود نسخه جعلی این چت بات را آغاز کردند. در ذهن مهاجمان، Grok و DeepSeek فرقی با هم ندارند…
بدون محافظت قابل اعتماد، هر فرد علاقه مند به هوش مصنوعی در معرض خطر قرار دارد. به همین دلیل، رعایت نکات ایمنی و توصیه های امنیتی هنگام استفاده از ابزارهای هوش مصنوعی کاملا ضروری است.
- آدرس صفحات وب را با دقت بررسی کنید. به ویژه زمانی که با سرویس یا پلتفرم جدید، محبوب و قابل جعل سر و کار دارید.
- از انتشار داده های حساس خودداری کنید. به خاطر داشته باشید که هر چیزی که در یک چت بات می نویسید، ممکن است بعدا علیه شما استفاده شود؛ همانند دیگر سرویس های ابری، اطلاعات وارد شده ممکن است به دلیل نقص های امنیتی یا هک حساب کاربری افشا شود.
- از دستگاه های خود محافظت کنید. کسپرسکی پریمیوم (Kaspersky Premium) و ایست اینترنت سکیوریتی (ESET Internet Security) از جمله راهکارهایی هستند که سایت های فیشینگ را شناسایی کرده و از دانلود بدافزار جلوگیری می کنند.
- هر افزونه غیررسمی می تواند یک تهدید امنیتی جدید ایجاد کند - به ویژه آن هایی که قابلیت اجرا دارند و ممکن است به طور مخفیانه کدهای مخرب اجرا کنند؛ مثلا برای خرید بلیت هواپیما به هزینه شما!
