Una campaña maliciosa dirigida a usuarios en México fue descubierta por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky. Los atacantes utilizaron anuncios en Google para difundir un troyano disfrazado de una aplicación legítima basada en inteligencia artificial. La amenaza, denominada BrowserVenom, modifica los navegadores para redirigir el tráfico web hacia servidores controlados por los atacantes, lo que permite robar datos personales.
Los hechos fueron revelados a partir de un análisis de Kaspersky, que detectó la campaña a través de un sitio de phishing que imitaba la página oficial del modelo de lenguaje DeepSeek-R1. Este modelo, popular entre los entusiastas de la inteligencia artificial, puede ejecutarse sin conexión mediante programas como Ollama o LM Studio, los cuales fueron utilizados como señuelo en el ataque.
Tal sitio fraudulento aparecía como resultado patrocinado en Google al buscar "deepseek r1". Tras identificar el sistema operativo del visitante, ofrecía la descarga de herramientas para ejecutar el modelo sin conexión. Una vez que el usuario hacía clic y completaba un CAPTCHA, se iniciaba la descarga de un archivo malicioso. Aunque los instaladores de Ollama y LM Studio eran reales, venían acompañados de un malware que sólo se instalaba si el usuario tenía permisos de administrador en su cuenta de Windows.
El malware modificaba la configuración de todos los navegadores del equipo infectado, forzando el uso de un proxy controlado por los atacantes. Esto facilitaba el espionaje de la actividad en línea y el robo de contraseñas y datos personales. Según Kaspersky, "estas herramientas falsas comprometen los datos confidenciales del usuario y representan una amenaza, especialmente cuando las han bajado de fuentes no verificadas".
Además de México, se han registrado casos similares en Brasil, Cuba, India, Nepal, Sudáfrica y Egipto, lo que confirma un alcance global de esta campaña. Ante estos hechos, Kaspersky recomienda descargar herramientas únicamente desde fuentes oficiales, verificar la autenticidad de los sitios web y evitar el uso de cuentas con privilegios de administrador para navegar en Windows. (NotiPress)
