DeepSeek爆火之下暗潮洶涌

剛剛過去的春節(jié)，DeepSeek一經(jīng)發(fā)布即成為全球熱議的現(xiàn)象級(jí)產(chǎn)品，引發(fā)了全球資本市場(chǎng)、科技從業(yè)者、政策制定者和普通用戶的關(guān)注，并掀起安裝與使用的熱潮。

性能媲美ChatGPT、谷歌Gemini、LLaMA等大模型性能、模型訓(xùn)練成本預(yù)估只有不到600萬美元、技術(shù)團(tuán)隊(duì)規(guī)模僅百余人……這些前所未有的成績，不僅推動(dòng)DeepSeek成為全球最受矚目的AI大模型產(chǎn)品，也引起了黑灰產(chǎn)的覬覦。

一方面，冒用“DeepSeek”名稱相關(guān)的惡意網(wǎng)址、App、木馬等行為正在泛濫，另一方面，黑灰產(chǎn)也嗅到了“商機(jī)”，紛紛下場(chǎng)借助熱度實(shí)施不法行為。為此，騰訊安全團(tuán)隊(duì)從外鏈和APP應(yīng)用兩個(gè)維度對(duì)其進(jìn)行了深度分析。

●疑似仿冒DeepSeek的域名爆炸式增長，春節(jié)前后累計(jì)觀察到疑似仿冒DeepSeek的網(wǎng)站超過20000個(gè)。

●1月31日新增疑似仿冒DeepSeek站點(diǎn)約3000個(gè)。

●監(jiān)測(cè)到大量仿冒站點(diǎn)，通過社交平臺(tái)引流C端用戶，指向虛擬幣平臺(tái)和色情網(wǎng)站。

●監(jiān)測(cè)到部分黑灰產(chǎn)，通過偽造提供DeepSeek本地部署和提供行業(yè)解決方案，對(duì)企業(yè)實(shí)施釣魚攻擊。

●黑灰產(chǎn)仿冒DeepSeek植入木馬，可能會(huì)進(jìn)一步應(yīng)用AI算法提高攻擊成功率。

1.外鏈維度

1.1 每日活躍的站點(diǎn)數(shù)量增長趨勢(shì)分析

1月26日開始傳播量級(jí)已經(jīng)初具規(guī)模，從1月31日開始，傳播量級(jí)提速，當(dāng)天新增疑似仿冒DeepSeek站點(diǎn)約3000個(gè)，2月7日后增速有所放緩，如圖1.1所示。

圖1.1 每日活躍的疑似仿冒DeepSeek站點(diǎn)數(shù)量分布圖

1.2 疑似仿冒DeepSeek網(wǎng)站分析

1.2.1 虛擬幣相關(guān)

如圖1.2所示，在發(fā)現(xiàn)疑似仿冒DeepSeek站點(diǎn)快速增長時(shí)，我們利用網(wǎng)址關(guān)系鏈技術(shù)發(fā)現(xiàn)，這些疑似仿冒站點(diǎn)與一些境外常見的虛擬幣交易平臺(tái)有著十分密切的聯(lián)系，因此猜測(cè)出現(xiàn)了打著DeepSeek旗號(hào)建立的新型虛擬幣，如圖1.3所示。

圖1.2 與虛擬幣交易平臺(tái)有著密切關(guān)系的疑似仿冒DeepSeek站點(diǎn)

圖1.3 打著DeepSeek旗號(hào)建立的虛擬幣網(wǎng)站

同時(shí)我們還發(fā)現(xiàn)，與虛擬幣交易平臺(tái)有密切關(guān)系的仿冒DeepSeek站點(diǎn)，與常見的社交平臺(tái)也有著十分密切的關(guān)系，這是因?yàn)樾陆ǖ奶摂M幣需要借助社交平臺(tái)來引流，如圖1.4所示。

圖1.4 借助境外常用社交平臺(tái)來引流

此外，通過進(jìn)一步分析，我們發(fā)現(xiàn)打著DeepSeek旗號(hào)建立的新型虛擬幣呈現(xiàn)明顯的團(tuán)伙性質(zhì)，首先這幾個(gè)網(wǎng)站都利用halo快速建站構(gòu)建，背后為同一團(tuán)伙開發(fā)設(shè)計(jì)，并且具有明顯IP聚集效應(yīng)，如圖1.5所示。

圖1.5 打著DeepSeek旗號(hào)建立虛擬幣團(tuán)伙

1.2.2 色情導(dǎo)流相關(guān)

此外，如圖1.6所示，通過網(wǎng)址關(guān)系鏈，我們還發(fā)現(xiàn)除了虛擬幣之外，還有一些疑似仿冒DeepSeek站點(diǎn)與色情網(wǎng)站關(guān)系比較密切，如圖1.7和1.8所示。

圖1.6 仿冒DeepSeek網(wǎng)站導(dǎo)流到色情網(wǎng)站

圖1.7 訪問后直接跳轉(zhuǎn)色情網(wǎng)站并誘導(dǎo)下載假冒的短視頻APP，實(shí)際為色情APP

圖1.8 一些網(wǎng)站中的廣告可以隨機(jī)跳轉(zhuǎn)到色情網(wǎng)站或者虛擬幣交易網(wǎng)站

1.2.3 可疑釣魚網(wǎng)站

目前主要發(fā)現(xiàn)有兩種可疑釣魚網(wǎng)站，有聲稱可以幫助用戶提供DeepSeek本地部署和提供行業(yè)解決方案的，如圖1.9所示，也有以金融公司名義吸引線上會(huì)議的，如圖1.10所示。

圖1.9 可疑釣魚網(wǎng)站1

圖1.10 可疑釣魚網(wǎng)站2

1.3 域名注冊(cè)情況分析

1.3.1 域名注冊(cè)時(shí)間分布

從域名注冊(cè)時(shí)間來看，大部分域名都集中在最近半個(gè)月內(nèi)注冊(cè)，占比達(dá)到84.2%，如圖1.11所示。

圖1.11 疑似仿冒DeepSeek域名注冊(cè)時(shí)間分布

1.3.2 域名注冊(cè)服務(wù)商分布

從域名注冊(cè)服務(wù)商來看，Top10的域名注冊(cè)商占了總域名注冊(cè)數(shù)量的79.8%，頭部幾個(gè)域名注冊(cè)商占比相對(duì)集中，前五名分別為24.3%、11.6%、11.0%、9.3%、8.4%，如圖1.12所示。

圖1.12 疑似仿冒DeepSeek域名注冊(cè)服務(wù)商分布

1.3.3 域名解析地理位置分布

從域名解析的IP地理位置來看，有53.8%位于北美洲，亞洲占比達(dá)到35.0%，其余主要分布在歐洲。如圖1.13所示。

圖1.13疑似仿冒DeepSeek域名解析IP位置分布

2.APP維度

2.1 最新動(dòng)態(tài)總結(jié)

主要從仿冒DeepSeek家族的流行攻擊技術(shù)研究和流行木馬案例進(jìn)行研究，通過對(duì)Top10的可疑木馬樣本進(jìn)行分析，得出以下結(jié)論：

●對(duì)DeepSeek進(jìn)行重打包并植入惡意代碼，致使用戶在不知情下運(yùn)行篡改程序時(shí)，彈出誘導(dǎo)窗口，誘導(dǎo)其下載來源不明且可能攜帶病毒、木馬等惡意程序的破解軟件。

●用戶在不知情的情況下運(yùn)行仿冒DeepSeek程序，會(huì)出現(xiàn)誘導(dǎo)加入特定某即時(shí)通信軟件群聊的彈窗。一旦加入，用戶易陷入詐騙團(tuán)伙圈套，面臨信息泄露、網(wǎng)絡(luò)詐騙及設(shè)備被惡意控制等風(fēng)險(xiǎn)。

●利用打包平臺(tái)生成假冒DeepSeek，用戶注冊(cè)需填特定邀請(qǐng)碼方可進(jìn)入。應(yīng)用內(nèi)置多項(xiàng)誘導(dǎo)性充值項(xiàng)目，具有“殺豬盤”式可疑詐騙特征，且強(qiáng)制用戶設(shè)置交易密碼以完成“資金操作”。

2.2 仿冒影響情況

2.2.1仿冒DeepSeek家族分布

如圖2.1所示，仿冒DeepSeek家族中可疑欺詐類占比52%，可疑仿冒和可疑風(fēng)險(xiǎn)類占比均為17%，可疑銀行木馬類占比14%。

圖2.1 仿冒DeepSeek惡意應(yīng)用家族分布

2.2.2 仿冒DeepSeek家族Top10應(yīng)用列表

如表2.1所示，仿冒DeepSeek家族Top10應(yīng)用存在多種對(duì)抗手段，包括仿冒包名、包名隨機(jī)化和仿冒圖標(biāo)等，這使得用戶難以分辨真?zhèn)巍?/p>

表2.1 仿冒DeepSeek家族Top10應(yīng)用列表

2.3 仿冒具體案例分析

2.3.1 可疑誘導(dǎo)引流案例

基礎(chǔ)信息

函數(shù)名稱

相關(guān)代碼

該案例重新打包后植入惡意代碼，運(yùn)行后彈窗誘導(dǎo)加群，如圖2.2所示，誘導(dǎo)加群代碼如圖2.3所示。

圖2.2 DeepSeek重打包后植入惡意代碼，通過某即時(shí)通信軟件誘導(dǎo)加群

圖2.3 運(yùn)行后用android.app.Dialog.show彈出誘導(dǎo)加群的對(duì)話框

2.3.2 可疑仿冒案例

基礎(chǔ)信息

函數(shù)名稱

相關(guān)代碼

該案例重新打包后植入惡意代碼，運(yùn)行后彈窗誘導(dǎo)下載其他破解軟件，如圖2.4所示，誘導(dǎo)代碼如圖2.5所示。

圖2.4 DeepSeek重打包后植入惡意代碼誘導(dǎo)下載破解軟件

圖2.5 運(yùn)行后用android.app.Dialog.show彈出誘導(dǎo)下載其他破解軟件的對(duì)話框

2.3.3 可疑欺詐案例

基礎(chǔ)信息

函數(shù)名稱

相關(guān)代碼

利用打包平臺(tái)生成可疑仿冒DeepSeek的應(yīng)用，內(nèi)含收費(fèi)項(xiàng)目，注冊(cè)需要邀請(qǐng)碼，疑似殺豬盤，如圖2.6所示。該應(yīng)用的包名證書也與官方的不一樣，如圖2.7所示。

圖2.6 利用打包平臺(tái)生成的假冒DeepSeek應(yīng)用

圖2.7 該假冒應(yīng)用的包名證書與官方不一樣

3.未來仿冒DeepSeek的可能趨勢(shì)

3.1 仿冒DeepSeek外鏈趨勢(shì)

未來仿冒DeepSeek外鏈可能的趨勢(shì)有以下幾點(diǎn)：

●欺詐手法隱蔽化：黑產(chǎn)將DeepSeek與博彩或者其他投資類相結(jié)合，以高回報(bào)引誘受害者參與。

●傳播引流方式多樣化：借助于高熱的黑灰產(chǎn)網(wǎng)站，例如色情或者盜版視頻等網(wǎng)站來傳播引流。

●對(duì)抗加?。弘S著對(duì)仿冒DeepSeek的黑灰產(chǎn)網(wǎng)站打擊，黑灰產(chǎn)一定會(huì)想盡多種方式來躲避風(fēng)控。

3.2 仿冒DeepSeekAPP趨勢(shì)

未來仿冒DeepSeek家族可能的趨勢(shì)有以下幾點(diǎn)：

●偽裝與傳播多樣化：借助色情網(wǎng)站、社交軟件，偽裝成合法內(nèi)容傳播，感染率與隱蔽性增強(qiáng)。

●隱藏自身與逃逸檢測(cè)：利用透明圖標(biāo)、透明窗體等技術(shù)隱藏自身，避免被用戶和安全軟件發(fā)現(xiàn)，增強(qiáng)持久性和隱蔽性。

●濫用輔助功能權(quán)限與系統(tǒng)權(quán)限：惡意軟件將利用系統(tǒng)的輔助功能，激活設(shè)備管理器進(jìn)行提權(quán)，監(jiān)控用戶操作(點(diǎn)擊、手勢(shì)等)，替換系統(tǒng)默認(rèn)應(yīng)用，獲取敏感權(quán)限(如讀取和發(fā)送短信)，從而進(jìn)一步接管受害者設(shè)備。

●利用人工智能進(jìn)行攻擊決策：未來的木馬可能會(huì)集成人工智能算法，能夠根據(jù)環(huán)境和目標(biāo)的不同自動(dòng)選擇最有效的攻擊方式，提高成功率。

4.溫馨提示

當(dāng)前，騰訊安全團(tuán)隊(duì)已在騰訊系產(chǎn)品上對(duì)其中發(fā)現(xiàn)的涉詐、涉黃、釣魚等多種風(fēng)險(xiǎn)的外鏈和APP進(jìn)行了處理，但是黑產(chǎn)的作惡手段和方法一直處于快速的變化中。建議所有用戶(包括個(gè)人用戶和企業(yè)用戶)訪問和下載DeepSeek應(yīng)用時(shí)，一定要通過DeepSeek官方網(wǎng)站或者在知名應(yīng)用商店里操作，對(duì)不明鏈接和應(yīng)用提高警惕，仔細(xì)辨識(shí)，防止上當(dāng)受騙。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）