No começo de 2025, o chatbot chinês DeepSeek se destacou no cenário da IA. Ele gerou muitas discussões e polêmicas no mundo todo: a semelhança com o nosso logo não passou despercebida, comparações com o ChatGPT foram comuns, e países como Itália, Coreia do Sul e Austrália bloquearam completamente o DeepSeek. O entusiasmo foi (e continua sendo) enorme, até entre os criminosos virtuais.
Identificamos vários grupos de sites falsificando o chatbot e distribuindo códigos maliciosos disfarçados de software legítimo. Para entender como esses criminosos virtuais operam, além de aprender a usar IA com segurança, continue lendo…
Scripts maliciosos e geofencing
Diversos esquemas de distribuição de malware foram identificados, todos envolvendo sites falsos do DeepSeek. A diferença está no tipo de conteúdo distribuído e na forma de distribuição. Esta postagem explora um desses esquemas detalhadamente. Para obter mais detalhes sobre os demais esquemas, consulte o relatório completo no Securelist.
O que você acharia de acessar um site com os domínios deepseek-pc-ai(.)com ou deepseek-ai-soft(.)com? Você provavelmente pensaria que encontraria por lá algum software do DeepSeek. Que tipo de software seria esse? Um cliente DeepSeek, claro! E realmente, você logo encontra os botões brilhantes de Download e o botão Comece agora um pouco mais apagado.
Páginas falsas de Deepseek
Não importa qual botão você clique, o instalador começa a ser baixado. Mas há um problema: em vez de instalar o DeepSeek, o instalador acessa URLs maliciosas e manipula scripts para ativar o serviço SSH no Windows e configurá-lo para as chaves dos invasores. Isso permite que eles se conectem remotamente ao computador da vítima, que nem mesmo recebe um cliente DeepSeek para Windows… que, a propósito, não existe.
Curiosamente, os sites falsos usam geofencing, restringindo o acesso com base na localização do endereço IP. Por exemplo, usuários da Rússia nesses domínios viam uma página simples com textos vazios sobre o DeepSeek, provavelmente gerado pelo próprio DeepSeek ou por um grande modelo de linguagem diferente. Visitantes de outros países, no entanto, eram levados ao site malicioso que distribuía o cliente falso.
Um milhão de visualizações no X
O principal vetor de distribuição de links para as URLs maliciosas foi uma postagem na rede social X (antigo Twitter). Uma das postagens mais populares (agora excluída) foi publicada na conta da startup australiana Lumina Vista, que, segundo fontes abertas, tem no máximo 10 funcionários. Mesmo a conta da empresa ainda estava em seus estágios iniciais: recebeu a marca de verificação azul em fevereiro de 2025, com apenas uma dúzia de postagens e menos de 100 seguidores. No entanto, a postagem promovendo o site falso do DeepSeek obteve 1,2 milhão de visualizações e mais de 100 repostagens. Um pouco suspeito? Investigamos as contas que repostaram e concluímos que poderiam ser bots, já que todas usavam a mesma convenção de nome e identificadores na seção de biografia. Aliás, é possível que a conta da Lumina Vista tenha sido hackeada e usada para promover o post pago dos invasores.
1,2 milhão de visualizações em uma conta quase vazia? Parece promoção paga
Nos comentários, alguns usuários alertaram que o link direcionava a um site malicioso, mas eram minoria: a maioria comentava apenas sobre o DeepSeek, Grok e ChatGPT. No entanto, nenhum dos usuários percebeu o óbvio: o DeepSeek não possui cliente nativo para Windows e só pode ser acessado em um navegador. Você também pode executar o DeepSeek localmente, mas é necessário software especializado.
Como usar IA com segurança
Atualmente, não é fácil avaliar a escala deste e outros esquemas maliciosos envolvendo sites falsos do DeepSeek. Mas uma coisa é certa: essas campanhas são massivas e não visam usuários específicos. No entanto, estão se desenvolvendo rapidamente: logo após o anúncio do Grok-3, os invasores começaram a oferecer o download do cliente tanto no domínio V3-Grok (.) Com quanto no… V3-DEEPSEEK (.) COM! Grok, DeepSeek… qual é a diferença?
Sem proteção confiável, qualquer entusiasta da IA está em risco. Por isso, é fundamental seguir as regras e recomendações de segurança ao usar IA.
Se você realmente se interessa por redes neurais e quer aprender a usá-las com segurança, confira as postagens abaixo:
Estamos no Instagram como @gestaoinvestidora
Veja mais postagens como essa emEntertreinimento
