6 月 17 日消息，卡巴斯基旗下 GReAT 團隊披露，有黑客通過設置山寨 DeepSeek AI 網站面向海外用戶進行釣魚，傳播一種名為 BrowserVenom 的新型惡意木馬程序，專門劫持用戶瀏覽器的網絡流量，并竊取個人隱私數據。

研究人員指出，黑客首先設置一系列山寨 DeepSeek（英語）網站，之后購買 Google 搜索廣告，將釣魚網站推送到與“DeepSeek R1”相關的搜索結果頂部，如果受害者輕信相應廣告彈窗點擊進入，便容易中招。

參考分析通報獲悉，黑客設置的相應釣魚網站能根據訪客所使用的操作系統動態呈現相應版本，以提高詐騙成功率。例如 Windows 用戶訪問該頁面時，便會看到一個“Try now（現在嘗試）”按鈕，點擊后會跳轉至一個看似是驗證碼的頁面，要求完成“我不是機器人”的驗證。而這一驗證實際上是通過 JavaScript 代碼混淆實現的，并無真實驗證功能，目的在于規避安全公司設置的自動化檢測系統。

而在受害者完成所謂的驗證后，頁面會提供一個名為“AI_Launcher_1.21.exe”的程序供其下載，該程序偽裝成所謂 DeepSeek 安裝包，實際是 BrowserVenom 腳本程序。

▲ 制作拙劣的山寨 DeepSeek 安裝包

研究人員分析后發現，相應腳本在運行后首先會對系統進行檢測，之后會將自身加入到 Windows Defender 掃描白名單中，如果受害者運行環境擁有管理員權限，相應木馬便會從黑客架設的 C2 服務器中下載運行 BrowserVenom 木馬本身。

在 BrowserVenom 木馬運行后，其首先會判斷自身是否已擁有管理員權限，若有權限，它將自動安裝由黑客簽發的根證書，從而實現對用戶瀏覽器所有流量的攔截與解密。該木馬會修改 Chrome、Edge、Firefox 等常見的基于 Chromium 和 Gecko 內核的瀏覽器配置文件，強制將所有網絡請求通過黑客設置的代理服務器轉發，實現對受害者網絡活動的全面監控。

研究人員提醒廣大用戶，在使用 AI 工具時應通過官方網站獲取資源，避免通過搜索引擎點擊來路不明的廣告鏈接，以免誤入陷阱。