傳播惡意軟體的假冒DeepSeek AI安裝程式、網站和應用程式

       資安業者Forescout揭露名為SuperBlack的勒索軟體，一旦成功利用漏洞，駭客就會以隨機的使用者名稱通過身分驗證，然後以forticloud-tech、fortigate-firewall、adnimistrator等使用者名稱建立本機系統管理員帳號，並下載防火牆的組態配置檔案以便後續偵察活動。為了決定後續的橫向移動路徑，駭客還會存取FortiGate防火牆的主控臺，掌握防火牆運作狀態、漏洞管理、網路組態、列管裝置、使用者SSL VPN連線資料、Wi-Fi連線的資訊。       攻擊從使用者執行惡意批處理檔開始，該檔通常偽裝成合法的安全功能或惡意軟體下載。一旦執行，惡意軟體就會通過創建計劃任務和修改 Windows 註冊表以使其即使在系統重啟後也能運行來建立自己。然後，該惡意軟體使用使用者模式 rootkit 來隱藏其在系統上的存在，使用戶和安全工具難以檢測到。攻擊者還將他們的惡意檔偽裝成值得信賴的應用程式，例如 Tor 瀏覽器、SIP （VoIP） 軟體或 Adob e 產品，從而增加使用者執行它們的機會。       OBSCURE#BAT 惡意軟體活動對個人和組織都是一個重大的網路安全威脅，主要是因為它能夠通過先進的規避技術破壞敏感數據。如何保護自己免受 obscure#BAT 攻擊可以這縻做：僅從合法網站下載軟體、使用終端節點日誌、記錄監控可疑活動、使用威脅檢測工具。       多倫多大學公民實驗室的網路安全研究人員揭露了以色列公司 Paragon Solutions 開發的名為 Graphite 的複雜間諜軟體通過 WhatsApp 以知名人士為目標。WhatsApp 軟體中一個以前未知的零日漏洞允許通過零點擊漏洞將間諜軟體安裝在設備上，從而允許攻擊者未經授權訪問目標手機。       McAfee Labs 發現了一個令人擔憂的趨勢，即惡意行為者正在利用 AI 工具的流行來分發惡意軟體。這種策略通常被稱為 SEO 中毒，它利用熱門搜索詞來引誘毫無戒心的使用者訪問惡意網站。        攻擊從使用者的搜索開始，然後他們被定向到提供適用於 Windows、Mac 和 Android 的 DeepSeek 應用程式的網站。然而，這些網站是惡意的，導致下載惡意軟體、捆綁不需要的第三方軟體的虛假安裝程式以及欺詐性驗證碼頁面。這些頁面採用了 「品牌冒充」，模仿 DeepSeek 的品牌以顯得合法。在註冊虛假合作夥伴計劃后，使用者被重定向到這些驗證碼頁面，然後提示他們執行安裝能夠竊取敏感資訊的惡意軟體的命令。        對偽裝成 DeepSeek 軟體的加密礦工的技術分析顯示，安裝後，惡意軟體與命令和控制伺服器通信，以下載並執行 PowerShell 腳本。該腳本採用進程注入技術來逃避檢測並在受害者的系統中建立持久性。   參考資料: https://www.ithome.com.tw/news/167900 https://hackread.com/new-obscurebat-malware-targets-users-fake-captchas/ https://hackread.com/fake-deepseek-ai-installers-websites-apps-malware/