Investigadores de Kaspersky han detectado una nueva campaña de ciberataques que utiliza una falsa aplicación para PC del popular modelo de lenguaje DeepSeek-R1 para propagar un malware denominado BrowserVenom. Esta amenaza, hasta ahora desconocida, se distribuye mediante un sitio web de phishing que imita la página oficial de DeepSeek y que se promociona a través de anuncios de Google, con víctimas detectadas en países como Brasil, México, India y Sudáfrica.
El método empleado consiste en redirigir a los usuarios, cuando buscan “deepseek r1” en Google, a un sitio falso que verifica el sistema operativo del dispositivo. Solo los usuarios de Windows reciben la opción de descargar la supuesta herramienta para ejecutar el modelo de lenguaje localmente. Tras pasar una prueba CAPTCHA, se descarga un archivo que, junto con los instaladores legítimos de programas como Ollama o LM Studio, instala en secreto el malware, eludiendo la protección de Windows Defender mediante técnicas avanzadas.
Una vez instalado, BrowserVenom modifica la configuración de todos los navegadores para forzar el tráfico web a través de un proxy controlado por los atacantes. Esto les permite interceptar credenciales, datos de navegación y otra información sensible, convirtiendo a las víctimas en objetivos de espionaje cibernético. La infección solo se produce si el perfil de Windows tiene privilegios de administrador, lo que limita parcialmente su alcance.
Según Lisandro Ubiedo, analista de seguridad de Kaspersky, la popularidad creciente de modelos de lenguaje de código abierto y su ejecución local abren nuevas oportunidades para que ciberdelincuentes difundan software malicioso. Por ello, recomienda descargar únicamente desde fuentes oficiales, verificar siempre las URLs y utilizar soluciones de seguridad robustas para protegerse de este tipo de amenazas.
Para protegerse de estas campañas, Kaspersky aconseja confirmar la autenticidad de los sitios web, evitar perfiles de administrador para el uso diario en Windows y desconfiar de cualquier herramienta que no provenga de canales oficiales, recordando que la precaución es clave para evitar ser víctima de estos sofisticados ataques.
