Svetom otriasla umelá inteligencia z Číny, chopili sa jej aj kybernetickí zločinci

Odkedy sme naposledy písali, uplynul iba jeden mesiac, no svet sa dramaticky zmenil. Nebudem tu opakovať titulky správ, ale skôr či neskôr sa tento nový svet dramatickejšie prejaví aj v kybernetických hrozbách. Teraz sa však pozrieme na zaujímavejší vývoj vo svete digitálnych nebezpečenstiev ešte starého sveta.

Umelá inteligencia tu už je nejaký ten piatok, ale akciovými trhmi či vládami dokáže stále otriasť – medzi také správy patrí aj umelá inteligencia od čínskeho startupu DeepSeek.

Je už takmer klišé písať o tom, že kyberzločinci sú vskutku rýchli v tom, ako sa chopia najnovších trendov a technológií a zneužijú ich na svoje nekalé ciele. Rozruch okolo DeepSeek a jeho najmodernejších modelov AI preto dozaista nie je výnimkou. Od chvíle, keď model R1 málo známeho čínskeho startupu ohromil svet, bezpečnostní výskumníci zaznamenali množstvo podvodných pokusov využiť jeho meteorický vzostup k popularite. Spolu s tým čelil DeepSeek intenzívnej diskusii o svojich postupoch  v oblasti ochrany súkromia a bezpečnosti, čo odhalilo niekoľko rizík týkajúcich sa modelov AI (nielen tých od DeepSeek).

Napríklad jeden z používateľov sociálnej siete v minulosti známej ako Twitter zverejnil niekoľko podrobností o webovej stránke, ktorá napodobňuje oficiálnu a vyzýva návštevníkov, aby si stiahli niečo, čo sa tvári ako model AI DeepSeek. Namiesto toho však kliknutie spustí sťahovanie škodlivého spustiteľného súboru, ktorý produkty ESET detegujú ako Win32/Packed.NSIS.A.

Hoci webová stránka vyzerá „ako originál“, pozorné oko si všimne aspoň jeden ďalší znak okrem samotnej URL: na rozdiel od tlačidla Začať teraz na oficiálnej webovej stránke falošná stránka má tlačidlo Stiahnuť teraz (DeepSeek spustil mobilné aplikácie pre iOS aj Android s veľkým úspechom, ale môžete ho používať aj priamo vo svojom desktopovom prehliadači bez potreby sťahovania). Na zvýšenie šance na úspech je malvér digitálne podpísaný spoločnosťou „K.MY TRADING TRANSPORT COMPANY LIMITED“.

Ďalší používatelia takisto zaznamenali množstvo novovytvorených domén, ktoré sa snažia oklamať ľudí, aby si mysleli, že sa dostali na skutočnú stránku, ale namiesto toho ich chcú pripraviť o údaje alebo ťažko zarobené peniaze vrátane propagácie (neexistujúcich) trhových akcií DeepSeek.

Ďalšie riziko súvisí s falošnými kryptomenami DeepSeek, ktoré sa objavili na viacerých blockchainových sieťach, pričom niektoré dosiahli trhové kapitalizácie v miliónoch dolárov v krátkom čase. Spoločnosť v januári jasne uviedla na Twitteri (dnes X), že nevydala žiadnu kryptomenu.

Podobne ako v prípade TikTok a iných čínskych online služieb aj praktiky zhromažďovania údajov DeepSeek okamžite vzbudili pozornosť vrátane regulačných orgánov v Spojených štátoch, Írsku, Taliansku a Francúzsku.

Aby ste sa chránili pred podvodmi súvisiacimi s DeepSeek, dávajte si pozor na akékoľvek e-maily alebo správy na sociálnych sieťach, ktoré sa snažia využiť jeho popularitu a tlačia vás na kliknutie na podozrivé odkazy.

Keďže nástroje AI môžu byť využité na vytváranie veľmi presvedčivých phishingových kampaní a iných útokov sociálneho inžinierstva, buďte skeptickí k správam, ktoré prichádzajú z ničoho nič, najmä ak ponúkajú niečo príliš dobré na to, aby to bola pravda, ako sú investičné príležitosti, alebo vytvárajú pocit naliehavosti. 

Posilnite svoje online účty dvojfaktorovou autentifikáciou (2FA) všade, kde je to možné, aby bolo pre kyberzločincov oveľa ťažšie získať prístup k vašim účtom, aj keď získajú vaše prihlasovacie údaje. Uistite sa takisto, že na všetkých svojich zariadeniach používate viacvrstvový bezpečnostný softvér, ktorý môže výrazne prispieť k vašej bezpečnosti.

No nielen o umelej inteligencii a DeepSeek bol uplynulý mesiaci. Výskumníci ESETu objavili útok na dodávateľský reťazec VPN služby vyvinutej juhokórejskou spoločnosťou. Za útokom je doteraz neznáma skupina napojená na Čínu, ktorú sme nazvali PlushDaemon. V tejto kyberšpionážnej operácii útočníci nahradili legitímny inštalátor takým, ktorý na infikované zariadenie nainštaloval aj škodlivý kód, ktorý sme nazvali SlowStepper. Je to sofistikovaný backdoor so súpravou nástrojov s viac ako 30 komponentmi a používa ho výhradne PlushDaemon. Hrozba je aktívna minimálne od roku 2019 a zameriava sa na špionážne operácie proti jednotlivcom a subjektom v Číne, Taiwane, Hongkongu, Južnej Kórei, Spojených štátoch a na Novom Zélande.

V našom Viruslabe sme objavili aj zraniteľnosť, ktorá postihuje väčšinu systémov s UEFI a umožňuje aktérom obísť UEFI Secure Boot. Táto zraniteľnosť, označená ako CVE-2024-7344, bola nájdená v aplikácii UEFI podpísanej treťostranným certifikátom spoločnosti Microsoft. Zneužitie tejto zraniteľnosti môže viesť k spusteniu nedôveryhodného kódu počas štartu systému, čo umožňuje potenciálnym útočníkom ľahko nasadiť škodlivé UEFI bootkity (ako Bootkitty alebo BlackLotus) aj na systémoch s povoleným UEFI Secure Boot bez ohľadu na nainštalovaný operačný systém.

Som si istý, že ani v tomto novom, ešte turbulentnejšom svete nebude núdza o nové kybernetické hrozby a budeme mať do činenia s čoraz sofistikovanejšími a aktívnejšími zločincami aj štátmi. Najnovšie príklady vám prinesiem opäť o mesiac a dovtedy vám želám bezpečné surfovanie nebezpečným svetom.