小心伪装成DeepSeek安装程序的恶意软件陷阱

网络犯罪分子创建了中国AI模型DeepSeek-R1的虚假安装程序，并植入了名为"BrowserVenom"的未知恶意软件。

这款恶意软件因其能够将浏览器流量重定向至攻击者控制的服务器而得名。该功能使犯罪分子能够窃取数据、监控浏览活动，并可能暴露明文流量。网站凭据、会话cookies、金融账户信息以及敏感邮件和文档都面临风险，这些正是诈骗分子进行数字欺诈或转售给其他恶意行为者所需的信息。

目前，该恶意软件已感染巴西、古巴、墨西哥、印度、尼泊尔、南非和埃及的"多台"计算机。卡巴斯基发现了一个钓鱼活动，通过将受害者引导至模仿真实DeepSeek主页的虚假网站来传播恶意软件，该公司表示这种威胁仍在"构成全球威胁"。

虽然此次活动中使用的恶意软件是新的，但利用对AI的兴趣传播恶意载荷的策略越来越常见。此类活动使用域名与真实AI供应商略有不同的钓鱼网站，犯罪分子使用恶意广告和其他策略使其在搜索引擎结果中显著出现。但这些网站并非提供承诺的聊天机器人或AI工具，而是用各种恶意软件感染毫无戒心的受害者。

该活动使用了URL：https[:]//deepseek-platform[.]com。

犯罪分子通过从谷歌购买广告向众多潜在受害者推广该地址，使其在用户搜索"deepseek r1"时显示为顶部结果。谷歌表示已移除攻击广告。谷歌发言人告诉The Register："在本报告发布之前，我们检测到了这个恶意软件活动并暂停了广告商的账户。"

当Windows用户访问该网站时，会提示他们点击标有"立即尝试"的按钮。卡巴斯基观察到，其他平台的用户会看到措辞不同但同样具有误导性的按钮。

点击按钮后，用户会被带到CAPTCHA验证页面，这给网站增添了合法性的外观。页面还包含隐藏的JavaScript代码，用于确保用户不是机器人，让犯罪分子知道他们找到了值得攻击的人类目标。

解决CAPTCHA后，受害者被重定向到包含"立即下载"按钮的下载页面。点击该按钮会从域名https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe下载恶意安装程序AI_Launcher_1.21.exe。

据卡巴斯基称，犯罪分子的网站代码包含俄语注释，表明他们说俄语。然而，该安全公司尚未将此活动归因于特定的网络犯罪集团或个人。

安装程序执行时会打开另一个窗口，模仿Cloudflare CAPTCHA（同样是伪造的），再次验证受害者是人类。随后恶意软件将用户引导到一个屏幕，为用户提供下载和安装Ollama或LM Studio来运行DeepSeek的选项。无论点击哪个选项都无关紧要：任一选择都会触发BrowserVenom感染。

执行时，恶意软件首先检查用户是否具有管理员权限。如果没有，恶意软件会停止运行。

对于被认为值得感染的用户，BrowserVenom会安装攻击者创建的硬编码证书，从而为犯罪分子提供持续访问权限并允许他们拦截流量。

BrowserVenom还会向所有当前安装和运行的浏览器添加硬编码代理服务器地址，这也允许其操作者监控受害者的流量。然后他们开始进行邪恶的勾当。