网络犯罪分子创建了中国AI模型DeepSeek-R1的虚假安装程序,并植入了名为"BrowserVenom"的未知恶意软件。
这款恶意软件因其能够将浏览器流量重定向至攻击者控制的服务器而得名。该功能使犯罪分子能够窃取数据、监控浏览活动,并可能暴露明文流量。网站凭据、会话cookies、金融账户信息以及敏感邮件和文档都面临风险,这些正是诈骗分子进行数字欺诈或转售给其他恶意行为者所需的信息。
目前,该恶意软件已感染巴西、古巴、墨西哥、印度、尼泊尔、南非和埃及的"多台"计算机。卡巴斯基发现了一个钓鱼活动,通过将受害者引导至模仿真实DeepSeek主页的虚假网站来传播恶意软件,该公司表示这种威胁仍在"构成全球威胁"。
虽然此次活动中使用的恶意软件是新的,但利用对AI的兴趣传播恶意载荷的策略越来越常见。此类活动使用域名与真实AI供应商略有不同的钓鱼网站,犯罪分子使用恶意广告和其他策略使其在搜索引擎结果中显著出现。但这些网站并非提供承诺的聊天机器人或AI工具,而是用各种恶意软件感染毫无戒心的受害者。
该活动使用了URL:https[:]//deepseek-platform[.]com。
犯罪分子通过从谷歌购买广告向众多潜在受害者推广该地址,使其在用户搜索"deepseek r1"时显示为顶部结果。谷歌表示已移除攻击广告。谷歌发言人告诉The Register:"在本报告发布之前,我们检测到了这个恶意软件活动并暂停了广告商的账户。"
当Windows用户访问该网站时,会提示他们点击标有"立即尝试"的按钮。卡巴斯基观察到,其他平台的用户会看到措辞不同但同样具有误导性的按钮。
点击按钮后,用户会被带到CAPTCHA验证页面,这给网站增添了合法性的外观。页面还包含隐藏的JavaScript代码,用于确保用户不是机器人,让犯罪分子知道他们找到了值得攻击的人类目标。
解决CAPTCHA后,受害者被重定向到包含"立即下载"按钮的下载页面。点击该按钮会从域名https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe下载恶意安装程序AI_Launcher_1.21.exe。
据卡巴斯基称,犯罪分子的网站代码包含俄语注释,表明他们说俄语。然而,该安全公司尚未将此活动归因于特定的网络犯罪集团或个人。
安装程序执行时会打开另一个窗口,模仿Cloudflare CAPTCHA(同样是伪造的),再次验证受害者是人类。随后恶意软件将用户引导到一个屏幕,为用户提供下载和安装Ollama或LM Studio来运行DeepSeek的选项。无论点击哪个选项都无关紧要:任一选择都会触发BrowserVenom感染。
执行时,恶意软件首先检查用户是否具有管理员权限。如果没有,恶意软件会停止运行。
对于被认为值得感染的用户,BrowserVenom会安装攻击者创建的硬编码证书,从而为犯罪分子提供持续访问权限并允许他们拦截流量。
BrowserVenom还会向所有当前安装和运行的浏览器添加硬编码代理服务器地址,这也允许其操作者监控受害者的流量。然后他们开始进行邪恶的勾当。
好文章,需要你的鼓励
美国网络安全和基础设施安全局指示联邦机构修补影响思科ASA 5500-X系列防火墙设备的两个零日漏洞CVE-2025-20362和CVE-2025-20333。这些漏洞可绕过VPN身份验证并获取root访问权限,已被黑客积极利用。攻击与国家支持的ArcaneDoor黑客活动有关,黑客通过漏洞安装bootkit恶意软件并操控只读存储器实现持久化。思科已发布补丁,CISA要求机构清点易受攻击系统并在今日前完成修补。
康考迪亚大学研究团队通过对比混合量子-经典神经网络与传统模型在三个基准数据集上的表现,发现量子增强模型在准确率、训练速度和资源效率方面均显著优于传统方法。研究显示混合模型的优势随数据集复杂度提升而增强,在CIFAR100上准确率提升9.44%,训练速度提升5-12倍,且参数更少。该成果为实用化量子增强人工智能铺平道路。
TimeWave是一款功能全面的计时器应用,超越了苹果自带时钟应用的功能。它支持创建流式计时器,让用户可以设置连续的任务计时,帮助专注工作。应用采用简洁的黑白设计,融入了Liquid Glass元素。内置冥想、番茄工作法、20-20-20护眼等多种计时模式,支持实时活动显示和Siri快捷指令。免费版提供基础功能,高级版需付费订阅。
沙特KAUST大学团队开发了专门针对阿拉伯语的AI模型家族"Hala",通过创新的"翻译再调优"技术路线,将高质量英语指令数据转化为450万规模的阿拉伯语语料库,训练出350M到9B参数的多个模型。在阿拉伯语专项测试中,Hala在同规模模型中表现最佳,证明了语言专门化策略的有效性,为阿拉伯语AI发展和其他语言的专门化模型提供了可复制的技术方案。