警惕“AI助手”变“监控后门”：专家提醒谨防假冒DeepSeek的恶意软件

当你在网上搜索热门AI工具“DeepSeek”时，是否想过第一个搜索结果可能是个精心设计的“数字陷阱”？全球知名网络安全机构卡巴斯基（Kaspersky）最新研究揭露，一款名为“BrowserVenom”的新型恶意软件正通过假冒DeepSeek的钓鱼网站，诱导用户下载并安装，其真实目的竟是将用户的电脑变成黑客的“代理跳板”，实现长期潜伏与数据窃取。

这起攻击事件堪称“高科技钓鱼”的典型：攻击者利用DeepSeek-R1这一热门大模型的极高人气，在搜索引擎中投放广告，让假冒的“deepseek-platform[.]com”网站占据搜索结果首位。用户点击后，会被引导至一个看似正规的下载页面，需要先通过一个“反机器人”验证码，进一步增加可信度。随后，用户会下载到一个名为“AI_Launcher_1.21.exe”的安装程序。

“这就像你去4S店买新车，结果提回来的是一辆被偷偷装了GPS和窃听器的‘特工车’。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“你表面上是下载了一个AI工具，实际上却给黑客敞开了一扇后门。”

据分析，一旦用户运行该程序，名为“BrowserVenom”的恶意软件便会悄然植入。它的核心功能是修改用户电脑上所有浏览器（包括Chrome、Edge、Firefox等）的代理设置，强制所有网络流量通过黑客控制的远程服务器（IP：141.105.130[.]106）进行中转。

“这意味着，你在网上做的每一件事——登录账号、查看邮件、网购支付，所有数据都会先经过黑客的服务器。”芦笛强调，“黑客不仅能实时监控你的网络活动，窃取账号密码，还能伪装成你访问其他网站，进行诈骗或攻击，而这些行为的源头IP都会显示为你的电脑，让你‘背黑锅’。”

更隐蔽的是，该恶意软件还会在用户电脑上安装一个由黑客签发的伪造数字证书，使得被劫持的加密流量（如HTTPS）也能被解密和监控，普通用户几乎无法察觉。

此次攻击还暴露了恶意软件分发的新趋势：攻击者使用了“恶意广告”（Malvertising）技术，通过付费广告确保钓鱼网站出现在搜索结果顶部，极大提升了欺骗性。同时，软件内嵌的代码显示，攻击者可能来自俄语区，且已进行过多轮迭代，技术成熟度高。

面对如此隐蔽的威胁，个人和企业该如何防范？芦笛给出了以下建议：

官方渠道是“金标准”：下载任何软件，尤其是AI、加密货币等热门工具，务必通过官方网站或官方应用商店。不要轻信搜索引擎广告或第三方下载站。

警惕“验证码”套路：正规软件下载通常不会设置复杂的验证码流程。如果下载前要“答题”或“验证”，很可能是钓鱼陷阱。

检查证书和链接：安装软件前，查看其数字签名是否来自可信公司。浏览网页时，注意浏览器地址栏的“锁”图标和网址是否正确。

终端防护要到位：安装可靠的杀毒软件和防火墙，并保持更新。企业应部署终端检测与响应（EDR）系统，及时发现异常代理设置和恶意进程。

“BrowserVenom这类攻击，把钓鱼从‘一锤子买卖’变成了‘长期潜伏’。”芦笛警告，“它不再只是骗你一次，而是要长期控制你的设备。安全意识必须从‘防骗’升级到‘防控’。”

随着AI技术的火热，利用AI名义的网络诈骗正成为新趋势。专家提醒，越是热门的技术，越要保持冷静，别让对“智能”的追求，变成了对“陷阱”的无知。

编辑：芦笛（公共互联网反网络钓鱼工作组）