{"id":23635,"date":"2025-04-24T14:07:44","date_gmt":"2025-04-24T17:07:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23635"},"modified":"2025-04-24T14:07:44","modified_gmt":"2025-04-24T17:07:44","slug":"trojans-disguised-as-deepseek-grok-clients","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/trojans-disguised-as-deepseek-grok-clients\/23635\/","title":{"rendered":"Trojans disfar\u00e7ados de clientes DeepSeek e Grok"},"content":{"rendered":"

No come\u00e7o de 2025, o chatbot chin\u00eas DeepSeek se destacou no cen\u00e1rio da IA. Ele gerou muitas discuss\u00f5es e pol\u00eamicas no mundo todo: a semelhan\u00e7a com o nosso logo n\u00e3o passou despercebida<\/a>, compara\u00e7\u00f5es com o ChatGPT foram comuns<\/a>, e pa\u00edses como It\u00e1lia, Coreia do Sul e Austr\u00e1lia bloquearam completamente o DeepSeek<\/a>. O entusiasmo foi (e continua sendo) enorme, at\u00e9 entre os criminosos virtuais.<\/p>\n

Identificamos v\u00e1rios grupos de sites falsificando o chatbot e distribuindo c\u00f3digos maliciosos disfar\u00e7ados de software leg\u00edtimo. Para entender como esses criminosos virtuais operam, al\u00e9m de aprender a usar IA com seguran\u00e7a, continue lendo\u2026<\/p>\n

Scripts maliciosos e geofencing<\/h2>\n

Diversos esquemas de distribui\u00e7\u00e3o de malware foram identificados, todos envolvendo sites falsos do DeepSeek. A diferen\u00e7a est\u00e1 no tipo de conte\u00fado distribu\u00eddo e na forma de distribui\u00e7\u00e3o. Esta postagem explora um desses esquemas detalhadamente. Para obter mais detalhes sobre os demais esquemas, consulte o relat\u00f3rio completo no Securelist<\/a>.<\/p>\n

O que voc\u00ea acharia de acessar um site com os dom\u00ednios deepseek-pc-ai[.]com<\/em> ou deepseek-ai-soft[.]com<\/em>? Voc\u00ea provavelmente pensaria que encontraria por l\u00e1 algum software do DeepSeek. Que tipo de software seria esse? Um cliente DeepSeek, claro! E realmente, voc\u00ea logo encontra os bot\u00f5es brilhantes de Download<\/strong> e o bot\u00e3o Start Now<\/strong> um pouco mais apagado.<\/p>\n

\"P\u00e1gina<\/a>

P\u00e1gina falsa do DeepSeek<\/p><\/div>\n

N\u00e3o importa qual bot\u00e3o voc\u00ea clique, o instalador come\u00e7a a ser baixado. Mas h\u00e1 um problema: em vez de instalar o DeepSeek, o instalador acessa URLs maliciosas e manipula scripts para ativar o servi\u00e7o SSH no Windows e configur\u00e1-lo para as chaves dos invasores. Isso permite que eles se conectem remotamente ao computador da v\u00edtima, que nem mesmo recebe um cliente DeepSeek para Windows\u2026 que, a prop\u00f3sito, n\u00e3o existe.<\/p>\n

Curiosamente, os sites falsos usam geofencing<\/a>, restringindo o acesso com base na localiza\u00e7\u00e3o do endere\u00e7o IP. Por exemplo, usu\u00e1rios da R\u00fassia nesses dom\u00ednios viam uma p\u00e1gina simples com textos vazios sobre o DeepSeek, provavelmente gerado pelo pr\u00f3prio DeepSeek ou por um grande modelo de linguagem<\/a> diferente. Visitantes de outros pa\u00edses, no entanto, eram levados ao site malicioso que distribu\u00eda o cliente falso.<\/p>\n

Um milh\u00e3o de visualiza\u00e7\u00f5es no X<\/h2>\n

O principal vetor de distribui\u00e7\u00e3o de links para as URLs maliciosas foi uma postagem na rede social X (antigo Twitter). Uma das postagens mais populares (agora exclu\u00edda) foi publicada na conta da startup australiana Lumina Vista, que, segundo fontes abertas<\/a>, tem no m\u00e1ximo 10 funcion\u00e1rios. Mesmo a conta da empresa ainda estava em seus est\u00e1gios iniciais: recebeu a marca de verifica\u00e7\u00e3o azul em fevereiro de 2025, com apenas uma d\u00fazia de postagens e menos de 100 seguidores. No entanto, a postagem promovendo o site falso do DeepSeek obteve 1,2 milh\u00e3o de visualiza\u00e7\u00f5es e mais de 100 repostagens. Um pouco suspeito? Investigamos as contas que repostaram e conclu\u00edmos que poderiam ser bots, j\u00e1 que todas usavam a mesma conven\u00e7\u00e3o de nome e identificadores na se\u00e7\u00e3o de biografia. Ali\u00e1s, \u00e9 poss\u00edvel que a conta da Lumina Vista tenha sido hackeada e usada para promover o post pago dos invasores.<\/p>\n

\"1,2<\/a>

1,2 milh\u00e3o de visualiza\u00e7\u00f5es em uma conta quase vazia? Parece promo\u00e7\u00e3o paga<\/p><\/div>\n

Nos coment\u00e1rios, alguns usu\u00e1rios alertaram que o link direcionava a um site malicioso, mas eram minoria: a maioria comentava apenas sobre o DeepSeek, Grok e ChatGPT. No entanto, nenhum dos usu\u00e1rios percebeu o \u00f3bvio: o DeepSeek n\u00e3o possui cliente nativo para Windows e s\u00f3 pode ser acessado em um navegador. Voc\u00ea tamb\u00e9m pode executar o DeepSeek localmente<\/a>, mas \u00e9 necess\u00e1rio software especializado.<\/p>\n

Como usar IA com seguran\u00e7a<\/h2>\n

Atualmente, n\u00e3o \u00e9 f\u00e1cil avaliar a escala deste e outros esquemas maliciosos envolvendo sites falsos do DeepSeek. Mas uma coisa \u00e9 certa: essas campanhas s\u00e3o massivas e n\u00e3o visam usu\u00e1rios espec\u00edficos. No entanto, est\u00e3o se desenvolvendo rapidamente: logo ap\u00f3s o an\u00fancio do Grok-3, os invasores come\u00e7aram a oferecer o download do cliente tanto no dom\u00ednio v3-grok[.]com<\/em> quanto no\u2026 v3-deepseek[.]com<\/em>! Grok, DeepSeek\u2026 qual \u00e9 a diferen\u00e7a?<\/p>\n

Sem prote\u00e7\u00e3o confi\u00e1vel<\/a>, qualquer entusiasta da IA est\u00e1 em risco. Por isso, \u00e9 fundamental seguir as regras e recomenda\u00e7\u00f5es de seguran\u00e7a ao usar IA.<\/p>\n