引 言
2025年初,人工智能领域最重要的事件之一是 DeepSeek-R1 的发布——这是一款拥有开放权重的高性能推理大语言模型(LLM)。它既支持本地使用,也提供免费服务。由于DeepSeek是第一个向广大受众提供推理大型语言模型的服务,它很快就受到了欢迎,与ChatGPT的成功如出一辙。当然,这种关注度的激增也吸引了网络罪犯的目光。
在分析我们的内部威胁情报数据时,我们发现有几组网站模仿DeepSeek聊天机器人的官方网站,并将恶意代码伪装成该流行服务的客户端进行分发。
官方DeepSeek网站截图(2025年2月)
方案/1
Python窃密程序和不存在的DeepSeek客户端
第一组网站的域名包含DeepSeek模型版本号(V3和R1):
正如截图所示,假冒网站缺少开始聊天的选项——你只能下载一个应用程序。然而,真正的DeepSeek并没有官方的Windows客户端。
假冒网站截图
点击“获取DeepSeek应用程序”按钮会下载一个体积较小的压缩文件——deep-seek-installation.zip。该压缩文件包含DeepSeek Installation.lnk文件,其中包含一个URL。
在发布这项研究时,攻击者已经修改了托管在v3-deepseek[.]com域名上的假冒页面。它现在提示用户下载xAI开发的Grok模型的客户端。我们还在v3-grok[.]com域名上观察到类似的活动。伪装成客户端的是一个名为grok-ai-installation.zip的压缩文件,其中包含相同的快捷方式。
执行.lnk文件会运行快捷方式内URL指向的脚本:
这段脚本下载并解压一个名为f.zip的压缩文件。
解压后的压缩文件内容
接下来,脚本运行解压后的压缩文件中的1.bat文件。
BAT文件的内容
下载的压缩包中还包含svchost.exe和python.py文件。其中,第一个文件实际上是一个合法的python.exe文件,被重命名为模仿Windows进程的名称,旨在误导用户在任务管理器中检查正在运行的应用程序时产生混淆。
该文件用于启动python.py,其中包含恶意有效载荷(我们也曾见过该文件被命名为code.py)。这是一个用Python编写的窃密程序脚本,我们从未在之前的攻击中见过此类脚本。如果成功执行,攻击者将从受害者的计算机中获取大量数据:来自各种浏览器的cookie和会话令牌、电子邮件、游戏和其他账户的登录凭据、特定扩展名的文件、加密货币钱包信息等。
收集必要数据后,脚本会生成一个压缩文件,然后通过Telegram机器人将其发送给窃密程序的操作者,或者将其上传到Gofile文件共享服务。因此,尝试使用该聊天机器人可能会导致受害者丢失社交媒体访问权限、个人数据甚至加密货币。如果受感染设备上存储了公司凭据,整个组织也可能面临风险,从而导致更严重的后果。
方案/2
恶意脚本和百万浏览量
在另一个案例中,在以下域名上发现了伪造的 DeepSeek 网站:
我们在2月初发现了第一个域名,它托管着没有任何内容的默认Apache Web服务器页面。之后,该域名显示了一个与DeepSeek官网极为相似的新网页。值得注意的是,这个假冒网站使用了地理围栏技术:当请求来自某些IP地址(例如俄罗斯的IP地址)时,它会返回一个占位页面,其中填充了关于DeepSeek的通用SEO文本(我们认为这些文本可能是由LLM生成的):
如果IP地址和其他请求参数满足指定条件,服务器将返回一个类似DeepSeek的页面。用户会被提示下载客户端或启动聊天机器人,但这两个操作都会导致下载使用Inno Setup创建的恶意安装程序。卡巴斯基产品将其检测为Trojan-Downloader.Win32.TookPS.*。
执行此安装程序后,它会联系恶意URL以接收一个命令,该命令将通过cmd执行。最常见的命令是启动powershell.exe,并将一个Base64编码的脚本作为参数传递。该脚本会访问一个编码的URL以下载另一个PowerShell脚本,后者会激活内置的SSH服务,并使用攻击者的密钥修改其配置,从而允许远程访问受害者的计算机。
恶意PowerShell脚本的一部分
这个案例之所以值得注意,是因为我们设法确定了传播恶意链接的主要载体——社交网络 X(前身为Twitter)上的帖子:
这条帖子将用户引导至deepseek-pc-ai[.]com,该帖子是由一个澳大利亚公司的账户发布的。该帖子获得了120万次浏览量和超过一百次转发,其中大部分可能是机器人发布的——请注意他们在个人资料中相似的用户名和标识符:
一些用户在评论中尽职尽责地指出了该链接的恶意性质。
指向deepseek-ai-soft[.]com的链接也通过X帖子传播,但在调查时,这些链接仅在Google缓存中可见:
方案/3
后门程序和针对中国用户的攻击
我们还遇到了一些直接分发恶意可执行文件的网站。其中一个文件与以下域名相关联:
这些攻击的目标是技术更先进的用户——下载的恶意有效载荷模仿Ollama,这是一个在本地硬件上运行LLM(如DeepSeek)的框架。这种策略降低了潜在受害者的怀疑。卡巴斯基解决方案将此有效载荷检测为Backdoor.Win32.Xkcp.a。
受害者只需在其设备上启动“DeepSeek客户端”即可触发恶意软件,该软件会使用预定义的参数创建一个KCP隧道。
此外,我们还观察到攻击者利用受害者的设备下载名为deep_windows_Setup.zip的压缩文件,其中包含恶意可执行文件。该压缩文件是从以下域名下载的:
卡巴斯基解决方案将压缩包中的这种恶意软件检测为Trojan.Win32.Agent.xbwfho。这是一个使用Inno Setup创建的安装程序,通过DLL侧加载技术加载恶意库。该DLL随后会提取并加载一个使用隐写术隐藏的负载——Farfli后门程序的变种——并将其注入到一个进程中。
从诱饵页面的语言来看,这两个活动都以讲中文的用户为攻击目标。
结 论
本文中描述的假冒网站的性质表明,这些活动是广泛传播的,并非针对特定用户。
网络罪犯使用各种手段诱骗受害者访问恶意资源。通常,指向此类网站的链接是通过即时通讯软件和社交网络传播的,例如文中提到的X帖子案例。攻击者也可能使用误植域名(typosquatting)或通过众多联盟计划购买通往恶意网站的广告流量。
我们强烈建议用户仔细检查他们访问的网站地址,尤其是在链接来自未经验证的来源时。对于非常流行的服务,这一点尤其重要。在本例中,特别需要注意的是DeepSeek没有原生的Windows客户端。这已经不是网络罪犯第一次利用聊天机器人的热度来传播恶意软件了:他们之前曾使用伪装成ChatGPT客户端的木马攻击普通用户,并使用PyPI中的恶意软件包攻击开发者。简单的数字卫生习惯,结合先进的安全解决方案,可以显著降低设备感染和个人数据丢失的风险。
感染迹象
MD5
4ef18b2748a8f499ed99e986b4087518
155bdb53d0bf520e3ae9b47f35212f16
6d097e9ef389bbe62365a3ce3cbaf62d
3e5c2097ffb0cb3a6901e731cdf7223b
e1ea1b600f218c265d09e7240b7ea819
7cb0ca44516968735e40f4fac8c615ce
7088986a8d8fa3ed3d3ddb1f5759ec5d
恶意域名
r1-deepseek[.]net
v3-deepseek[.]com
deepseek-pc-ai[.]com
deepseek-ai-soft[.]com
app.delpaseek[.]com
app.deapseek[.]com
dpsk.dghjwd[.]cn
deep-seek[.]bar
deep-seek[.]rest
v3-grok[.]com
原文始发于微信公众号(卡巴斯基威胁情报):伪装成人工智能(AI)的木马:网络罪犯利用DeepSeek的热度进行恶意活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论