警惕！银狐木马“盯上”DeepSeek本地化部署工具

DeepSeek持续爆火，大量政府、企业和个人开发者纷纷选择进行本地化部署，以获得更好的使用效果，网上迅速涌现出众多与之相关的部署工具和下载资源，然而，攻击者也将矛头对准这一环节。


近期，360安全大模型监测到，通过仿冒DeepSeek进行的钓鱼攻击迅速增多，出现大量虚假本地部署工具，如DeepSeek电脑版、DeepSeek中文版等，诱骗不了解情况的用户充值购买。在各种钓鱼攻击中，持续猖獗的银狐木马团伙也再次现身，360数字安全集团特别提醒广大用户，务必提高警惕，谨防上当受骗。

“简单粗暴”，真实还原银狐攻击始末

银狐木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播。它通常利用具有诱导性的文件名，如“成绩单”、“转账通知单”等，在QQ、微信等即时通信软件发送钓鱼文件或网站链接，诱导受害者点击。

面对DeepSeek近期的“泼天流量”，银狐木马团伙简单粗暴，直接对其他仿冒DeepSeek工具进行二次打包嵌入木马。或干脆“不装了”，银狐木马团伙利用“DeepSeek”关键词搭建各类钓鱼站点，直接在仿冒网站提供一个木马安装包，诱导用户下载虚假的DeepSeek安装包，最终在用户机器中植入银狐木马。

以上图这个银狐木马为例，该木马和过往的银狐木马在执行流程和功能上并未有太大区别。木马运行后会请求黑客服务器获取后续的配置文件，并通过解密配置文件获取其上线模块、杀软对抗模块、驻留模块等功能模块。下图展示木马请求黑客服务器后获取的配置文件。

获取配置后，银狐木马会检测系统中是否存在安全软件，若发现能影响其工作的安全软件，则调用杀软对抗模块与安全软件对抗，主要通过构造RPC数据包、以RPC管道方式创建计划任务绕过安全软件检测，计划任务执行的目标为可结束安全软件进程的合法驱动，即BYOVD。一旦计划任务创建成功，该驱动就会接收木马发出的指令，在环0层结束安全软件进程。

成功结束安全软件后，“银狐“的上线模块和驻留模块开始工作。其上线模块是由Ghost木马改造而成的“银狐WinOS 4.0远控”，能实现包括键盘记录、屏幕监控、命令执行、语音监听在内的多种恶意操作。木马窃取用户的微信密钥与聊天记录、企业财税文件、企业工资单等企业财务相关内容，最终将这些信息售卖给诈骗团伙。