警惕！銀狐木馬“盯上”DeepSeek本地化部署工具

DeepSeek持續(xù)爆火，大量政府、企業(yè)和個(gè)人開發(fā)者紛紛選擇進(jìn)行本地化部署，以獲得更好的使用效果，網(wǎng)上迅速涌現(xiàn)出眾多與之相關(guān)的部署工具和下載資源，然而，攻擊者也將矛頭對準(zhǔn)這一環(huán)節(jié)。

近期，360安全大模型監(jiān)測到，通過仿冒DeepSeek進(jìn)行的釣魚攻擊迅速增多，出現(xiàn)大量虛假本地部署工具，如DeepSeek電腦版、DeepSeek中文版等，誘騙不了解情況的用戶充值購買。在各種釣魚攻擊中，持續(xù)猖獗的銀狐木馬團(tuán)伙也再次現(xiàn)身，特別提醒廣大用戶，務(wù)必提高警惕，謹(jǐn)防上當(dāng)受騙。

“簡單粗暴”，真實(shí)還原銀狐攻擊始末

銀狐木馬主要通過釣魚網(wǎng)頁、即時(shí)通訊軟件、下載站偽裝成常用軟件供用戶下載等方式進(jìn)行傳播。它通常利用具有誘導(dǎo)性的文件名，如“成績單”、“轉(zhuǎn)賬通知單”等，在QQ、微信等即時(shí)通信軟件發(fā)送釣魚文件或網(wǎng)站鏈接，誘導(dǎo)受害者點(diǎn)擊。

面對DeepSeek近期的“潑天流量”，銀狐木馬團(tuán)伙簡單粗暴，直接對其他仿冒DeepSeek工具進(jìn)行二次打包嵌入木馬?；蚋纱唷安谎b了”，銀狐木馬團(tuán)伙利用“DeepSeek”關(guān)鍵詞搭建各類釣魚站點(diǎn)，直接在仿冒網(wǎng)站提供一個(gè)木馬安裝包，誘導(dǎo)用戶下載虛假的DeepSeek安裝包，最終在用戶機(jī)器中植入銀狐木馬。

以上圖這個(gè)銀狐木馬為例，該木馬和過往的銀狐木馬在執(zhí)行流程和功能上并未有太大區(qū)別。木馬運(yùn)行后會請求黑客服務(wù)器獲取后續(xù)的配置文件，并通過解密配置文件獲取其上線模塊、殺軟對抗模塊、駐留模塊等功能模塊。下圖展示木馬請求黑客服務(wù)器后獲取的配置文件。

獲取配置后，銀狐木馬會檢測系統(tǒng)中是否存在安全軟件，若發(fā)現(xiàn)能影響其工作的安全軟件，則調(diào)用殺軟對抗模塊與安全軟件對抗，主要通過構(gòu)造RPC數(shù)據(jù)包、以RPC管道方式創(chuàng)建計(jì)劃任務(wù)繞過安全軟件檢測，計(jì)劃任務(wù)執(zhí)行的目標(biāo)為可結(jié)束安全軟件進(jìn)程的合法驅(qū)動，即BYOVD。一旦計(jì)劃任務(wù)創(chuàng)建成功，該驅(qū)動就會接收木馬發(fā)出的指令，在環(huán)0層結(jié)束安全軟件進(jìn)程。

成功結(jié)束安全軟件后，“銀狐“的上線模塊和駐留模塊開始工作。其上線模塊是由Ghost木馬改造而成的“銀狐WinOS 4.0遠(yuǎn)控”，能實(shí)現(xiàn)包括鍵盤記錄、屏幕監(jiān)控、命令執(zhí)行、語音監(jiān)聽在內(nèi)的多種惡意操作。木馬竊取用戶的微信密鑰與聊天記錄、企業(yè)財(cái)稅文件、企業(yè)工資單等企業(yè)財(cái)務(wù)相關(guān)內(nèi)容，最終將這些信息售賣給詐騙團(tuán)伙。

針對近期再次活躍的銀狐木馬攻擊，建議廣大政企機(jī)構(gòu)應(yīng)盡快構(gòu)建更加體系化、實(shí)戰(zhàn)化、智能化的數(shù)字安全防御體系。

來源：360數(shù)字安全