Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

BrowserVenom, il malware che sfrutta DeepSeek per rubare dati. Può colpire anche in Italia?

Simone D'Agostino : 17 Giugno 2025 11:18

Autori: Simone D’Agostino e Antonio Piovesan

Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in generale a social engineering, quest’oggi invece vi parleremo di una nuova modalità che sfrutta una tecnologia nata da pochi anni e che si sta sempre più diffondendo.

Il 12 giugno 2025, Kaspersky GReAT ha pubblicato un’allerta riguardante una sofisticata campagna malware che sfrutta la crescente diffusione di modelli linguistici offline (Offline LLM) per colpire utenti Windows.Il malware, mai emerso prima, è stato denominato BrowserVenom: è progettato per intercettare il traffico web delle vittime, rubando credenziali e informazioni personali.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Ma la vera novità è appunto il vettore d’inganno: si presenta come una falsa versione installabile del noto LLM DeepSeek-R1.

Come funziona l’attacco

BrowserVenom si diffonde attraverso un sito fake che replica in modo credibile la homepage di DeepSeek-R1, uno dei modelli open-source più ricercati del momento, in grado di funzionare offline tramite strumenti come Ollama o LM Studio.

Catena d’infezione:

  • L’utente cerca “DeepSeek R1” su Google;
  • Clicca su un risultato pubblicitario o SEO manipolato;
  • Apre una pagina che emula la UI ufficiale;
  • Scarica un falso installer (che include Ollama o LM Studio contraffatti), al cui interno è incorporato anche BrowserVenom;
  • Se l’utente dispone di privilegi di amministratore, il malware si installa e modifica i proxy dei browser.

Impatto tecnico

Una volta installato, BrowserVenom:

  • Devia tutto il traffico web (HTTP/HTTPS) verso proxy remoti controllati dagli attaccanti;
  • Intercetta dati di navigazione: cookie, credenziali, contenuti dei form, cronologia;
  • Aggira Windows Defender mediante tecniche di evasione comportamentale;
  • Persiste nel sistema modificando i file di configurazione proxy nei browser principali (Chrome, Edge, Firefox).

Analisi OSINT: come è emerso deepseek-r1.com

La nostra analisi OSINT indipendente ha individuato il dominio deepseek-r1.com come nodo centrale della campagna.
Partendo dalle tecniche descritte da Kaspersky — in particolare l’uso fraudolento del nome DeepSeek — è stato possibile, tramite monitoraggio SEO e analisi delle SERP, isolare il dominio compromesso.

Le SERP (Search Engine Results Pages) sono le pagine di risultati che i motori di ricerca mostrano all’utente quando effettua una ricerca per una certa parola chiave: al loro interno link e pagine web sono selezionati e ordinati tenendo conto della capacità dei contenuti di soddisfare l’intenzione di ricerca insieme ad altri fattori.

Il sito risultava posizionato nei primi risultati sponsorizzati o organici di Google, accanto a fonti legittime come Hugging Face o deepseek.com, sfruttando tecniche avanzate di SEO poisoning.

Cosa abbiamo scoperto

Il dominio deepseek-r1.com

  • Il dominio deepseek-r1.com:
  • Registrato a gennaio 2025 tramite Namecheap, con protezione privacy attiva;
  • Hostato su IP 147.79.79.153 e 147.79.72.122, appartenente a un range Hostinger già associato ad attività sospette;
  • Segnalato da 12 motori antivirus su VirusTotal come malware, infostealer o phishing (tra cui BitDefender, Fortinet, G-Data, Kaspersky).

Cos’è il SEO poisoning?

Il SEO poisoning è una tecnica in cui gli attaccanti manipolano i motori di ricerca per far apparire link fraudolenti accanto a contenuti legittimi.

Nel caso di deepseek-r1.com, il sito sfrutta:

  • Iniezione massiva di keyword come “DeepSeek no login” o “Download GPT open source”;
  • Sitemap ben strutturate e frequentemente aggiornate;
  • Hosting su CMS ottimizzati (WordPress + CDN Hostinger);
  • Probabile cloaking: contenuti differenti per i bot dei motori di ricerca rispetto agli utenti reali.

Il cloaking è una tecnica mediante la quale, grazie a particolari script, è possibile fare in modo che un sito web mostri ai motori di ricerca un contenuto differente da quello che realmente il sito stesso propone agli utenti fisici/ai visitatori, consentendo così di ottenere un migliore posizionamento all’interno delle pagine SERP.

Domini collegati: riflessioni e precauzioni

L’analisi ha evidenziato collegamenti tecnici e di referral tra deepseek-r1.com e altri domini:

  • 8pixlabs.com: presente nei referral. Alcuni motori AV lo classificano come “malicious”, ma non vi sono elementi per attribuirgli un ruolo diretto nella catena d’infezione.
  • ai-pro.org: linkato dalla falsa UI, presenta DNS Cloudflare e IP 172.67.38.167.
    È stato registrato nel 2022 via Moniker. La sua infrastruttura è menzionata in alcuni dump OSINT legati a traffico automatizzato o anomalo, ma non risulta flaggato al momento su VirusTotal.

Potrà avere vittime in Italia?

Ad oggi non risultano infezioni accertate in Italia, ma:

  • Il sito è accessibile da IP italiani;
  • È indicizzato su Google.it tra i risultati legittimi;
  • Il file si scarica senza allarmi AV o blocchi DNS.

Indicatori di Compromissione (IoC)

  • Dominio: deepseek-r1.com
  • IP: 147.79.79.153 – 147.79.72.122
  • CDN: Hostinger CDN
  • CMS: WordPress 6.7.2
  • Certificato TLS: ZeroSSL RSA, valido fino ad agosto 2025
  • SHA256 (installer infetto): non pubblico, ma rilevato da almeno 12 AV

Conclusione

La campagna BrowserVenom sfrutta il boom dell’AI offline per colpire in modo silenzioso ma efficace.
Il dominio deepseek-r1.com, al centro della catena d’infezione, è stato scoperto dalla nostra redazione OSINT prima delle segnalazioni ufficiali.

L’indagine dimostra come campagne SEO ben orchestrate possano alterare i risultati di ricerca, convincendo l’utente ad affidarsi a strumenti, in questo caso di AI, manipolati per rubare credenziali o altre informazioni personali o sensibili.

Simone D'agostino
Nato a Roma, con oltre 30 anni in Polizia di Stato, oggi è Sostituto Commissario alla SOSC Polizia Postale Udine. Esperto in indagini web e dark web, è appassionato di OSInt, che ha insegnato alla Scuola Allievi Agenti di Trieste. Ha conseguito un Master in Intelligence & ICT all'Università di Udine (110 e lode), sviluppando quattro modelli IA per contrastare le frodi su fondi UE. È impegnato nella formazione per elevare la sicurezza cibernetica.

Lista degli articoli

Articoli in evidenza

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...

CAF, phishing e telefonate: il nuovo “modello unico” del Crimine Informatico. Fate Attenzione!
Di Redazione RHC - 30/07/2025

Negli ultimi giorni, diversi Centri di Assistenza Fiscale (CAF) italiani — tra cui CAF CIA, CAF UIL e CAF CISL — stanno segnalando un’ondata di messaggi SMS sospetti inviati diret...