您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
警惕!銀狐木馬“盯上”DeepSeek本地
警惕!銀狐木馬“盯上”DeepSeek本地化部署工具
DeepSeek持續(xù)爆火,大量政府、企業(yè)和個(gè)人開(kāi)發(fā)者紛紛選擇進(jìn)行本地化部署,以獲得更好的使用效果,網(wǎng)上迅速涌現(xiàn)出眾多與之相關(guān)的部署工具和下載資源,然而,攻擊者也將矛頭對(duì)準(zhǔn)這一環(huán)節(jié)。
近期,360安全大模型監(jiān)測(cè)到,通過(guò)仿冒DeepSeek進(jìn)行的釣魚(yú)攻擊迅速增多,出現(xiàn)大量虛假本地部署工具,如DeepSeek電腦版、DeepSeek中文版等,誘騙不了解情況的用戶(hù)充值購(gòu)買(mǎi)。在各種釣魚(yú)攻擊中,持續(xù)猖獗的銀狐木馬團(tuán)伙也再次現(xiàn)身,特別提醒廣大用戶(hù),務(wù)必提高警惕,謹(jǐn)防上當(dāng)受騙。
“簡(jiǎn)單粗暴”,真實(shí)還原銀狐攻擊始末
銀狐木馬主要通過(guò)釣魚(yú)網(wǎng)頁(yè)、即時(shí)通訊軟件、下載站偽裝成常用軟件供用戶(hù)下載等方式進(jìn)行傳播。它通常利用具有誘導(dǎo)性的文件名,如“成績(jī)單”、“轉(zhuǎn)賬通知單”等,在QQ、微信等即時(shí)通信軟件發(fā)送釣魚(yú)文件或網(wǎng)站鏈接,誘導(dǎo)受害者點(diǎn)擊。
面對(duì)DeepSeek近期的“潑天流量”,銀狐木馬團(tuán)伙簡(jiǎn)單粗暴,直接對(duì)其他仿冒DeepSeek工具進(jìn)行二次打包嵌入木馬?;蚋纱唷安谎b了”,銀狐木馬團(tuán)伙利用“DeepSeek”關(guān)鍵詞搭建各類(lèi)釣魚(yú)站點(diǎn),直接在仿冒網(wǎng)站提供一個(gè)木馬安裝包,誘導(dǎo)用戶(hù)下載虛假的DeepSeek安裝包,最終在用戶(hù)機(jī)器中植入銀狐木馬。
以上圖這個(gè)銀狐木馬為例,該木馬和過(guò)往的銀狐木馬在執(zhí)行流程和功能上并未有太大區(qū)別。木馬運(yùn)行后會(huì)請(qǐng)求黑客服務(wù)器獲取后續(xù)的配置文件,并通過(guò)解密配置文件獲取其上線(xiàn)模塊、殺軟對(duì)抗模塊、駐留模塊等功能模塊。下圖展示木馬請(qǐng)求黑客服務(wù)器后獲取的配置文件。
獲取配置后,銀狐木馬會(huì)檢測(cè)系統(tǒng)中是否存在安全軟件,若發(fā)現(xiàn)能影響其工作的安全軟件,則調(diào)用殺軟對(duì)抗模塊與安全軟件對(duì)抗,主要通過(guò)構(gòu)造RPC數(shù)據(jù)包、以RPC管道方式創(chuàng)建計(jì)劃任務(wù)繞過(guò)安全軟件檢測(cè),計(jì)劃任務(wù)執(zhí)行的目標(biāo)為可結(jié)束安全軟件進(jìn)程的合法驅(qū)動(dòng),即BYOVD。一旦計(jì)劃任務(wù)創(chuàng)建成功,該驅(qū)動(dòng)就會(huì)接收木馬發(fā)出的指令,在環(huán)0層結(jié)束安全軟件進(jìn)程。
成功結(jié)束安全軟件后,“銀狐“的上線(xiàn)模塊和駐留模塊開(kāi)始工作。其上線(xiàn)模塊是由Ghost木馬改造而成的“銀狐WinOS 4.0遠(yuǎn)控”,能實(shí)現(xiàn)包括鍵盤(pán)記錄、屏幕監(jiān)控、命令執(zhí)行、語(yǔ)音監(jiān)聽(tīng)在內(nèi)的多種惡意操作。木馬竊取用戶(hù)的微信密鑰與聊天記錄、企業(yè)財(cái)稅文件、企業(yè)工資單等企業(yè)財(cái)務(wù)相關(guān)內(nèi)容,最終將這些信息售賣(mài)給詐騙團(tuán)伙。
針對(duì)近期再次活躍的銀狐木馬攻擊,建議廣大政企機(jī)構(gòu)應(yīng)盡快構(gòu)建更加體系化、實(shí)戰(zhàn)化、智能化的數(shù)字安全防御體系。
來(lái)源:360數(shù)字安全