随着DeepSeek在人工智能领域的持续走红,不法分子开始利用其市场热度作为攻击诱饵。近日,360安全大脑就监测到了一款木马,伪装成深受欢迎的 DeepSeek工具,内部实则隐藏了危害性极大的后门功能。
经分析,该木马基于Electron框架构建,并集成了反调试和虚拟机检测能力,能够规避常规的安全分析环境。木马在执行前会悄然下载并部署特定版本的Node.js环境,通过多重加密验证及解密手段对关键组件进行保护。同时,木马还会直接从云端获取并解密远程恶意载荷以实现动态更新和远控操作。
01
钓鱼传播
该木马从传播开始就是利用了DeepSeek的热度。其幕后黑客精心构建了一个与DeepSeek官网高度相似的钓鱼页面,普通用户一旦被诱导访问该页面,是难以分辨其真伪的。
图1. 黑客精心构建的钓鱼页面
不明真相的用户一旦点击了页面中的下载按钮,就会下载攻击者准备的木马安装包。
图2. 下载木马
02
样本行为分析
前期准备
用户被诱导后,会下载到如下图所示的这样一款所谓的DeepSeek工具安装包。
图3. 木马图标
木马安装包被执行后,会检测特定分析工具类进程。如果存在则退出执行,以此来避免自身被安全人员分析。
图4. 木马检测分析工具相关代码
被检测的相关分析工具完整检测列表如下图:
图5. 被检测的分析工具完整列表
而在木马的代码前部,就加载了JavaScript脚本并访问C2服务器。这些相关内容均通过Base64算法进行了编码。
图6. 经Base64编码后的JavaScript脚本及C2服务器
此外,木马还巧妙的利用了Google日历的记录功能,通过自定义其中内容来实现随时在线调整跳转C2服务的配置信息。
图7. 利用Google日历远程调整C2配置
而黑客在编写木马时,还使用了AES-CBC加密算法加密了木马载荷。而加密时所用的KEY和IV为随机生成,并存入到了Redis数据库中并设置了15天的缓存时常。数据库地址为如下:
- redis://45.93.20.174:6379
图8. 木马访问在线Redis数据库
下载并部署Node.js 环境
木马会从Node.js官网下载特定版本的压缩包并解压到本地,以便后续利用该 Node.js 执行环境来运行后续任务。
图9. 下载并部署特定版本的Node.js
而在完成Node.js的部署后,会进行下一步的操作。木马首先会通过一段动态构造的脚本代码来实现远程动态加载与解密执行过程。而该代码还会根据传入的模块路径生成一段 JavaScript代码,并将其转换为Base64编码后的字符串。
在其生成的代码中,首先会通过fetch函数从如下远程地址中获取数据:
- hxxps://appliedaibusiness.com/ get_encrypt_file
在获取到远程的响应后,便可从响应头中读取到被用于AES解密的密钥(X-Encryption-Key)与IV值(X-Encryption-IV)。接下来,木马会对响应内容的加密数据进行解密,再调用传入模块中的run方法处理解密后的数据。
图10. 远程动态加载与解密执行恶意功能
本地模块的解密与执行
木马会在这部分功能代码中构造目标文件路径,根据 process.resourcesPath 的值找到 index.node 模块文件,再通过checkFileHash验证目标文件的完整性。若校验通过,则利用预设的Key与IV对index.node内容进行解密,并写回到index.node的同路径中。
解密完成后,木马会等待2秒再通过childProcess.execSync创建一个子进程来执行命令。执行的命令会调用Node.js可执行文件,并通过-e参数执行内嵌的代码。内嵌代码由上文提及的script函数生成,执行时会进一步从远程服务器获取加密数据解密后执行。
图11. 解密并执行本地模块
利用工具对该木马的网络通信进行抓包分析,我们对其中一个载荷进行了解密。
图12. 对木马传输通信进行抓包
根据抓包数据中捕获到的加密相关密钥及参数,对该载荷中的JavaScript脚本进行解密。我们发现该脚本主要用于窃取虚拟货币钱包,并替换转账钱包地址。此外,该脚本还会创建启动项的PowerShell脚本以实现持久化攻击。
图13. 从载荷中解密出的JavaScript脚本内容
该脚本中的虚拟币钱包相关的部分内容如下:
03
安全提示
目前监测数据显示,该木马主要在境外传播。但仍需要提醒广大用户——尤其是需要部署或测试DeepSeek的IT从业人员注意外部应用的来源可信度。
除了提高自身安全意识及警惕性外,还建议安装具有足够安全功能的浏览器对访问的页面进行安全性鉴定。同时,安装并启用安全软件,对下载的文件进行安全扫描。以此来确保系统得到全方位的安全防护。
IOCs
SHA1
c01b0664c7a42b394a465e20b750f61d77fb967e
URLs
hxxp://95.179.216.217/5ou0TFIDJzHNchpRhdRV1w%3D%3D
hxxps://calendar.app.google/ff2VfSHoCZWzFD9D8
redis://45.93.20.174:6379
SIGNATURE
K.MY TRADING TRANSPORT COMPANY LIMITED
| 
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层