本帖最后由 pyic 于 2025-2-14 23:09 编辑
News Today
近期,DeepSeek持续爆火,超过ChatGPT成为全球增速最快的AI应用。据监测数据显示,DeepSeek发布后,出现大量呈指数级增长的引流、仿冒和钓鱼站点,其在海外仿冒网站已超3000个;同时,冒充DeepSeek的恶意软件也在迅速增多,通过伪装成官方应用或文件,诱导用户下载并感染系统。
特别提醒广大用户,务必提高警惕,防范可能潜藏的软件后门、捆绑木马、钓鱼网站以及各类网络攻击风险。
虚假平台骗局多,下载点击需谨慎 恶意网站 对于广大用户而言,DeepSeek所展现出的形式像是一个“互动网站”,随之而生的恶意攻击更多以各类恶意网站的形式展现出来。通过对监测到的疑似恶意网站对应服务器ip进行分析统计,发现3437条海外域名,主要分布在美国、德国和新加坡。 
仿冒注册高峰出现在1月27日-29日,即DeepSeek登顶苹果中国地区和美国地区应用商店免费APP下载排行榜,在美区下载榜上超越了ChatGPT之后。
 我们列出一些比较典型的恶意站点类别:
仿冒与欺诈类站点:这类站点与官方页面几乎相同或极其相似,不明真相的用户一旦被诱导打开此类网站,往往无法分别其真伪。所以这类网站常被用于进行钓鱼攻击,误导用户输入隐私数据来窃取用户重要信息。
虚假DeepSeek应用站点:与仿冒类站点不同,虚假的应用站点利用DeepSeek的热度来推广自己的应用。通过建立虚假的DeepSeek应用下载站点来误导用户点击下载,最终目的通常是吸引用户购买其应用或相关会员服务。
 信息差套利站点:不法分子通过大众的“信息差”对免费或低价的服务或产品进行二次包装进行获利,通过对DeepSeek的应用和API接口进行二次包装,同时对应用和API接口进行收费或加价销售的操作。
其他引流站点:除上述几类比较常见的网站外,我们还发现了其一些它仿冒官方内容为自己产品或服务引流的站点。其本质也就是我们通常所说的“蹭热度”。
 这些网站不一定都会携带病毒或木马程序,部分站点目前的主要功能仅仅是引流,或进行域名抢注,以谋取经济利益。由于这些站点的来源不明,它们随时可能被恶意修改或篡改为钓鱼网站,进而危害用户的个人信息安全。因此,用户在访问这些站点时需格外谨慎,避免在不明网站上输入敏感信息或下载未知文件。
恶意软件
当然,但恶意软件在此类攻击中也从来不会缺席。通过对监测到的数据进行分析,我们发现目前与DeepSeek相关的恶意软件中,还是以推广程序和供应链攻击较为常见。
推广程序:此类程序往往与“虚假应用站点”一同出现,即虚假站点进行诱导推广,而此类推广程序则是被推广到用户设备中的目标程序。而通过对实际捕获到的样本进行分析,发现当前较为常见的恶意程序还是以推广行为为主,通过伪装成DeepSeek的应用或部署安装包误导用户点击。而一旦实际运行后便会下载带有其推广ID的安装程序并运行,进而获得推广返利。
例如下面这个MSI安装包,便会在安装过程中调用系统的powershell命令行来下载并执行其推广安装包
而改推广链接则是直接写在该安装包的配置文件中的。
供应链攻击:除此之外,本轮攻击中还出现了利用开发人员部署DeepSeek的环节发起的Python库供应链攻击。该脚本以“deepseekai”的名称上传至PyPI的公网库中误导相关技术人员下载。一旦运行便连接其C2服务器上传用户隐私数据。
仿冒软件
不法分子通过利用用户的手误或对英文拼写的不敏感,精心设计与官方名称相似的关键词,例如“deepsek”、“deepstand”等,巧妙地制造出与deepseek几乎一致的假象。
同时,这些假网站通过投放诱人的广告,吸引用户点击并误导其下载非官方应用。用户一旦下载并安装这些伪造应用后,往往需要支付注册费用或其他费用,最终被骗取金钱。
此外,用户还需警惕虚假的官方客服和账号诈骗行为。这些骗子通常会冒充DeepSeek的官方客服人员,打着帮助用户退款或解决账户问题的名义,通过电话、社交平台、电子邮件等方式与用户接触,要求提供个人信息、账号密码或进行“支付”操作。诈骗者可能通过各种手段获取用户信任,进而实施财务诈骗或窃取敏感信息。
IOCs
引流站点
deepseeklogin.us deepseeklogin.co deepseeklogins.com searchdeepseek.com seekcto.xyz
样本MD5
2df80283a8c95b24b9c057bc8274c14b 71b13b95473bfa42a6527fc533962683
引用来源: 独家揭秘 | 仿冒网站超3000!DeepSeek爆火背后的暗流涌动
来源: 独家揭秘 | 仿冒网站超3000!DeepSeek爆火背后的暗流涌动 | 
发表于 
