概述
DeepSeek 在全球的大热也为网络犯罪分子提供了极具吸引力的诱饵话题,近期奇安信威胁情报中心和病毒响应中心发现大量仿冒 DeepSeek 平台的钓鱼站点出现,并趁机传播伪装为 DeepSeek 名称的 Android 应用和 Windows 程序。
Android恶意程序
DropperAPP 基本信息如下表:
|
样本文件名 |
DeepSeek.apk |
|
APPName |
DeepSeek |
|
APPID |
com.hello.world |
|
Icon |
|
|
样本MD5 |
e1ff086b629ce744a7c8dbe6f3db0f68 |
|
CertHash(MD5) |
20f46148b72d8e5e5ca23d37a4f41490 |
|
样本大小 |
12.80MB |
|
Version |
1.0 |
CoreAPP 基本信息如下表:
|
样本文件名 |
com.vgsupervision_kit29 |
|
APPName |
DeepSeek |
|
APPID |
com.vgsupervision_kit29 |
|
Icon |
|
|
样本MD5 |
99fe380d9ef96ddc4f71560eb8888c00 |
|
CertHash(MD5) |
20f46148b72d8e5e5ca23d37a4f41490 |
|
样本大小 |
12.80MB |
|
Version |
1.0 |
DropperAPP分析
DropperAPP 分析的核心目的是伪装成 DeepSeek 并诱导用户安装 CoreAPP,去除大量的垃圾代码后,其结构也比较简单,主要包含系统的一个 WebView 组件和一些诱导窗口。
首先,用户使用 DropperAPP 时,WebWiew 会加载一个硬编码的 html 页面,截图如下:
用户选择更新,则会进入安装 CoreAPP 的流程,因为 MainActivity 中有安装应用的监听,用户安装成功后,则会打开安装的 CoreAPP;如果检测未成功安装 CoreAPP 则会使用 chorme 程序加载 “https://www.google.com” 地址,因此,此伪装应用并不具备真实的 DeepSeek 相关功能。部分主要实现源码如下:
CoreAPP分析
CoreAPP 是一个 Banker 类木马,多家安全厂商已对其进行了识别,识别情况如下。
其行为也能够从其清单文件中可见一斑,主要包含短信监听/发送、窃取电话号码和拨打电话等。
关联溯源分析
此次发现的攻击样本投放在钓鱼站点 “deepsek.icu” 中,虽然站点已经失效,但从奇安信威胁情报中心中可以看到监控到了恶意样本投递行为,并成功识别。
Windows恶意程序
|
奇安信情报沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZT-RGgKh6wn_HCy8z5u |
|
样本文件名 |
DeepSeek.exe |
|
样本MD5 |
a7389982054233436020f0ada0765a48 |
|
样本类型 |
PE32 EXE |
|
样本大小 |
117.94 MB (123666360字节) |
沙箱分析
将该样本上传奇安信情报沙箱分析后,可以看到沙箱基于智能的恶意行为综合判断已经识别出文件恶意并给出了 10 分的恶意评分。
静态信息显示样本使用 DeepSeek 图标,文件元数据的产品名称也伪装为 DeepSeek。
样本带有数字签名,为 ”K.MY TRADING TRANSPORT COMPANY LIMITED”。
流文件信息中也出现 ”Uninstall deepseek.exe” 文件名,nsis-script 的存在表明该样本为 NSIS 安装包。
运行的 DeepSeek.exe 所在目录路径出现另一款 AI 工具 Sora 的名字,APP 运行参数出现 resourcesapp.asar,疑似为 Electron 框架编写的应用。
运行截图显示该样本伪造出安装界面用以迷惑受害者。
详细分析
安装包程序中存在一个 app-32.7z 文件,解压该文件可以在其中发现沙箱运行结果中出现的 deepseek.exe 和 resourcesapp.asar 文件。
进一步解包 app.asar,发现恶意代码入口文件为 crypto.js。
crypto.js 包含俄语注释,读取 loadModule.js 中的代码,进行混淆处理。混淆处理后的代码由 outMutation.js 模块中的 jumpUp 函数运行。
loadModule.js 代码使用的 link_proxy 为 hxxps://calendar.app.google/a1vRBeuK3n6NmKZC7,借助 Google 的 Calender 应用传递下载后续载荷的 URL,这也能解释为何沙箱中会出现对 calendar.app.google 域名的访问,并且这种传递方式可以将其隐藏在其他 Google 域名(如fonts.googleapis.com)中,避免被发现。
下载的后续的链接为 ”hxxp://95.179.216.217/tKLw2yGI2RbiCfXnIbL7T==”。服务器响应内容的首部包括用于载荷 AES 解密的 key 和 iv。
解密后的 JS 脚本会窃取机器上多款加密钱包的数据,在窃密脚本中同样出现俄文字符串。
总结
奇安信威胁情报中心和病毒响应中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行或安装来历不明的应用,可先通过奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
e1ff086b629ce744a7c8dbe6f3db0f68
99fe380d9ef96ddc4f71560eb8888c00
a7389982054233436020f0ada0765a48
78e180ff48d68ca48bb5fe41c6903ece
061a8f66ec2f86f9668c0c157ed54b6c
51cdcf958dece5be0ea9719d243f9348
fcf27cffc2cb65cc59e4023719946ab8
C&C
deepsek.icu
deepseek-6phm9gg3zoacooy.app-tools.info
95.179.216.217:80
URL
hxxps://calendar.app.google/a1vRBeuK3n6NmKZC7
hxxp://95.179.216.217/tKLw2yGI2RbiCfXnIbL7T==
参考链接
点击阅读原文至ALPHA 8.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):DeepSeek引发全球关注,恶意软件鱼目混珠趁机传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论