DeepSeek ve Grok istemcisi gibi görünen Truva atları

2025’in başlarında yapay zeka sahnesine çıkan Çinli sohbet robotu DeepSeek, dünya çapında pek çok yorum ve tartışmaya neden oldu: Logosunun bizimkine benzerliğini fark etmemek mümkün değildi, ChatGPT ile kıyaslamalar boldu ve İtalya, Güney Kore, Avustralya ve diğer ülkelerde tamamen engellendi. Bu heyecan, siber suçlular arasında da yoğun bir şekilde yaşandı ve yaşanmaya devam ediyor.

Sohbet robotunun resmi web sitesini taklit eden ve meşru bir istemci gibi görünerek kötü amaçlı kod dağıtan birkaç site grubu keşfettik. Bu siber kötülerin tam olarak nasıl çalıştığını ve yapay zekanın nasıl güvenli bir şekilde kullanılacağını öğrenmek için okumaya devam edin…

Kötü amaçlı komut dosyaları ve coğrafi sınırlama

Ortak payda olarak sahte DeepSeek web sitelerinin kullanıldığı çeşitli kötü amaçlı yazılım dağıtım yöntemleri tespit edilmiştir. Aradaki fark, bu siteler aracılığıyla neyin nasıl dağıtıldığıdır. Bu yazı, bu uygulamalardan birini ayrıntılı bir şekilde incelemektedir; diğerleriyle ilgili ayrıntılar için Securelist’teki raporumuza bakabilirsiniz.

deepseek-pc-ai[.]com veya deepseek-ai-soft[.]com alan adına sahip bir web sitesine girdiğinizde ne düşünürsünüz? Muhtemelen orada DeepSeek ile ilgili bazı yazılımlar bulabileceğinizi varsayarsınız. Peki bu ne tür bir yazılım olabilir? Tabii ki bir DeepSeek istemcisi! Gerçekten de, siteye gelen ziyaretçileri karşılayan parlak Download (İndir) düğmesi ve biraz daha donuk olan Start Now (Şimdi Başla) düğmelerini hemen göreceksiniz.

Sahte DeepSeek web sayfası

Bu düğmelerden hangisine tıklarsanız tıklayın, bir yükleyici indirilmeye başlar. Ancak bir sorun vardır: Yükleyici bir kez başlatıldığında DeepSeek’i yüklemek yerine kötü amaçlı URL’lere erişir ve saldırganların anahtarlarıyla çalışacak şekilde yapılandırmak üzere Windows’taki SSH hizmetini etkinleştirmek için komut dosyalarını manipüle eder. Bu sayede, kurbanın bilgisayarına uzaktan bağlanabilirler ve bu bilgisayarda teselli olarak bir DeepSeek Windows istemcisi bile yüklenmez ki zaten böyle bir istemci de yoktur.

İlginç bir şekilde, sahte siteler coğrafi sınırlama kullanarak IP adresinin bulunduğu bölgeye göre erişimi kısıtlar. Örneğin, Rusya’dan bu alan adlarına giren kullanıcılar DeepSeek hakkında boş metinler içeren basit bir taslak site gördüler. Bunlar büyük olasılıkla DeepSeek’in kendisi veya farklı bir büyük dil modeli tarafından oluşturulmuştur. Ancak diğer ülkelerden gelen ziyaretçiler sahte istemciyi dağıtan kötü niyetli siteye yönlendirildi.

X’te bir milyon görüntüleme

Kötü amaçlı URL’lere bağlantıların dağıtıldığı ana vektör, X (eski adıyla Twitter) sosyal ağındaki paylaşımlardı. En popüler paylaşımlardan biri (şimdi silindi), açık kaynaklara göre 10’dan fazla çalışanı olmayan Avustralyalı startup Lumina Vista’nın hesabından yayınlandı. Şirketin hesabı henüz emekleme aşamasında; mavi tik işaretini Şubat 2025’te almış ve sadece bir düzine gönderi ve 100’den az aboneye sahip. Yine de sahte DeepSeek sitesini tanıtan gönderinin 1,2 milyon görüntülenmesi ve 100’den fazla yeniden paylaşımı var. Biraz şüpheli değil mi? Bunu yeniden yayınlayan hesapları araştırdık ve hepsinin biyografi bölümünde aynı adlandırma kuralını ve tanımlayıcıları kullanması nedeniyle bot olabilecekleri sonucuna vardık. Bu arada, Lumina Vista’nın hesabının ele geçirilmiş ve saldırganların reklam gönderisinin ücretli tanıtımı için kullanılmış olması oldukça muhtemel.

Neredeyse boş bir hesapta 1,2 milyon görüntüleme mi? Ücretli tanıtım kokusu geliyor.

Yorumlarda, bazı kullanıcılar bağlantının kötü amaçlı bir siteye yönlendirdiğine dikkat çekmeye çalışmış ama yeterli olamamışlar. Geri kalanlar sadece DeepSeek, Grok ve ChatGPT hakkındaki görüşlerini ifade etmiş. Ancak, yorum yapanların hiçbiri bariz olana dikkat çekmemiş: DeepSeek’in Windows için yerel bir istemcisi yok ve ona yalnızca bir tarayıcıdan erişebilirsiniz. DeepSeek’i yerel olarak da çalıştırabilirsiniz ancak bunun için özel bir yazılım gerekir.

Yapay zeka nasıl güvenle kullanılır?

Şu anda, sahte DeepSeek sayfalarını içeren bu ve diğer kötü niyetli planların ölçeğini değerlendirmek kolay değildir. Ancak kesin olan bir şey var: Bu planlar çok büyük ve belirli kullanıcıları hedeflemiyor. Yine de çok hızlı gelişiyorlar: Grok-3’ün duyurulmasından kısa bir süre sonra, saldırganlar istemcisini hem v3-grok[.]com alanından hem de v3-deepseek[.]com‘dan indirmeyi teklif etmeye başladılar! Gerçekten, Grok, DeepSeek – ne fark eder?…

Güvenilir koruma olmadan, tüm yapay zeka meraklıları risk altındadır. Bu nedenle yapay zeka kullanırken güvenlik kurallarına ve tavsiyelere uymak hayati önem taşır.

• Ziyaret ettiğiniz web sitelerinin URL’lerini kontrol edin. Özellikle de yeni, popüler ve taklit edilmesi kolay bir şey olduğunda.
• Hassas verileri filtreleyin. Bir chatbot’a yazdıklarınızın size karşı kullanılabileceğini unutmayın: Diğer bulut hizmetlerinde olduğu gibi, güvenlik açıkları veya hesapların ele geçirilmesi nedeniyle veriler sızabilir.
• Cihazlarınızı koruyun. İncelemelere göz atın ve kimlik avı sitelerini tespit edecek ve kötü amaçlı yazılım indirmeye karşı koruyacak sizin için en iyi çözümü seçin.
• Üçüncü taraf eklentilerin kullanımını sınırlayın. Her eklenti uygulaması yeni tehditler doğurur. Örneğin, masrafları size ait olmak üzere uçak bileti satın almak için kötü amaçlı kod çalıştırabilen yürütme eklentileri için özel izleme gereklidir.

Nöral ağlarla ciddi olarak ilgileniyorsanız ve bunları nasıl güvenli bir şekilde kullanacağınızı öğrenmek istiyorsanız, bu yazılara göz atın:

• ChatGPT, Gemini ve diğer yapay zekalar nasıl güvenle kullanılır
• Bilgisayarınıza bir yapay zeka asistanı nasıl yüklenir ve kullanılır
• Bilgisayar korsanları ChatGPT veya Microsoft Copilot ile sohbetlerinizi nasıl okuyabilir?
• … ve diğerleri.