卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼，传播 BrowserVenom 新型恶意木马

6 月 17 日消息，卡巴斯基旗下 GReAT 团队披露，有黑客通过设置山寨DeepSeek AI 网站面向海外用户进行钓鱼，传播一种名为 BrowserVenom 的新型恶意木马程序，专门劫持用户浏览器的网络流量，并窃取个人隐私数据。

研究人员指出，黑客首先设置一系列山寨 DeepSeek（英语）网站，之后购买Google 搜索广告，将钓鱼网站推送到与“DeepSeek R1”相关的搜索结果顶部，如果受害者轻信相应广告弹窗点击进入，便容易中招。

参考分析通报获悉，黑客设置的相应钓鱼网站能根据访客所使用的操作系统动态呈现相应版本，以提高诈骗成功率。例如 Windows 用户访问该页面时，便会看到一个“Try now（现在尝试）”按钮，点击后会跳转至一个看似是验证码的页面，要求完成“我不是机器人”的验证。而这一验证实际上是通过 JavaScript 代码混淆实现的，并无真实验证功能，目的在于规避安全公司设置的自动化检测系统。

而在受害者完成所谓的验证后，页面会提供一个名为“AI_Launcher_1.21.exe”的程序供其下载，该程序伪装成所谓 DeepSeek 安装包，实际是 BrowserVenom 脚本程序。

▲ 制作拙劣的山寨 DeepSeek 安装包

研究人员分析后发现，相应脚本在运行后首先会对系统进行检测，之后会将自身加入到 Windows Defender 扫描白名单中，如果受害者运行环境拥有管理员权限，相应木马便会从黑客架设的 C2 服务器中下载运行 BrowserVenom 木马本身。

在 BrowserVenom 木马运行后，其首先会判断自身是否已拥有管理员权限，若有权限，它将自动安装由黑客签发的根证书，从而实现对用户浏览器所有流量的拦截与解密。该木马会修改 Chrome、Edge、Firefox 等常见的基于 Chromium 和Gecko 内核的浏览器配置文件，强制将所有网络请求通过黑客设置的代理服务器转发，实现对受害者网络活动的全面监控。

研究人员提醒广大用户，在使用 AI 工具时应通过官方网站获取资源，避免通过搜索引擎点击来路不明的广告链接，以免误入陷阱。