近期,卡巴斯基旗下的GReAT团队揭露了一起针对海外用户的钓鱼攻击事件。黑客通过搭建伪造的DeepSeek AI网站,并利用购置的Google搜索广告,将这些钓鱼网站推向“DeepSeek R1”相关搜索结果的最上方,意图诱导用户点击。
精心设计的钓鱼网站
研究人员指出,这些山寨网站会根据访问者的操作系统动态展示不同的内容,从而提高被骗的可能性。例如,当Windows用户访问时,他们会看到一个诱人的“立即尝试”按钮,点击后将被引导至一个伪装成验证码验证页面。该页面利用JavaScript代码混淆手段来逃避自动化检测,并不进行真实的验证。
一旦用户完成了这个伪装的验证过程,他们将下载到一个名为“AI_Launcher_1.21.exe”的文件,表面上看似DeepSeek的安装包,实际上则是BrowserVenom恶意程序的载体。
BrowserVenom的工作原理
经过分析,运行该恶意程序后,BrowserVenom首先会对系统环境进行检查,并试图将自身添加到Windows Defender的扫描白名单中。如果受害者拥有管理员权限,恶意程序将能够从黑客的C2(命令与控制)服务器下载并运行本身。
一旦BrowserVenom开始运行,它会检测自身的管理员权限。如果具有该权限,它会自动安装由黑客签发的根证书。这使得恶意程序能够全程监控用户的浏览器活动,劫持并解密所有网络流量。它还会修改如Chrome、Edge和Firefox等浏览器的配置,强迫将所有网络请求通过黑客指定的代理服务器进行转发,从而实现对受害者在线活动的全面监控。
用户防范建议
针对这一新型网络攻击事件,研究人员提醒广大用户,在使用AI工具时务必通过官方网站获取资源,切勿轻信搜索引擎中的来路不明广告链接,以免误入钓鱼陷阱。同时,保持安全软件的更新,定期进行系统扫描,以增强对潜在威胁的抵御能力。
此事件再度提醒我们,网络安全问题仍然严峻,谨慎上网、识别真伪是维护个人隐私和安全的关键。
