卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼,传播 BrowserVenom 新型恶意木马

admin 2025年6月19日20:55:37评论13 views字数 1011阅读3分22秒阅读模式

6 月 17 日消息,卡巴斯基旗下 GReAT 团队披露,有黑客通过设置山寨DeepSeek AI 网站面向海外用户进行钓鱼,传播一种名为 BrowserVenom 的新型恶意木马程序,专门劫持用户浏览器的网络流量,并窃取个人隐私数据。

卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼,传播 BrowserVenom 新型恶意木马

研究人员指出,黑客首先设置一系列山寨 DeepSeek(英语)网站,之后购买Google 搜索广告,将钓鱼网站推送到与“DeepSeek R1”相关的搜索结果顶部,如果受害者轻信相应广告弹窗点击进入,便容易中招。

参考分析通报获悉,黑客设置的相应钓鱼网站能根据访客所使用的操作系统动态呈现相应版本,以提高诈骗成功率。例如 Windows 用户访问该页面时,便会看到一个“Try now(现在尝试)”按钮,点击后会跳转至一个看似是验证码的页面,要求完成“我不是机器人”的验证。而这一验证实际上是通过 JavaScript 代码混淆实现的,并无真实验证功能,目的在于规避安全公司设置的自动化检测系统。

卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼,传播 BrowserVenom 新型恶意木马

而在受害者完成所谓的验证后,页面会提供一个名为“AI_Launcher_1.21.exe”的程序供其下载,该程序伪装成所谓 DeepSeek 安装包,实际是 BrowserVenom 脚本程序。

卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼,传播 BrowserVenom 新型恶意木马

▲ 制作拙劣的山寨 DeepSeek 安装包

研究人员分析后发现,相应脚本在运行后首先会对系统进行检测,之后会将自身加入到 Windows Defender 扫描白名单中,如果受害者运行环境拥有管理员权限,相应木马便会从黑客架设的 C2 服务器中下载运行 BrowserVenom 木马本身。

在 BrowserVenom 木马运行后,其首先会判断自身是否已拥有管理员权限,若有权限,它将自动安装由黑客签发的根证书,从而实现对用户浏览器所有流量的拦截与解密。该木马会修改 Chrome、Edge、Firefox 等常见的基于 Chromium 和Gecko 内核的浏览器配置文件,强制将所有网络请求通过黑客设置的代理服务器转发,实现对受害者网络活动的全面监控。

研究人员提醒广大用户,在使用 AI 工具时应通过官方网站获取资源,避免通过搜索引擎点击来路不明的广告链接,以免误入陷阱。

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理!

原文始发于微信公众号(安世加):卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼,传播 BrowserVenom 新型恶意木马

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月19日20:55:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   卡巴斯基曝光黑客山寨 DeepSeek AI 网站进行钓鱼,传播 BrowserVenom 新型恶意木马http://cn-sec.com/archives/4181757.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息