企业动态

    近期以来，DeepSeek热度狂飙，尤其是微信测试接入DeepSeek更使其加速全民化的普及。然而，DeepSeek在全球的大热也为网络犯罪分子提供了极具吸引力的诱饵话题，奇安信威胁情报中心和病毒响应中心近期发现大量仿冒DeepSeek平台的钓鱼站点出现，并趁机传播伪装为DeepSeek名称的Windows程序。奇安信天擎也监测到已有用户出现感染。安全专家提醒广大用户需加强终端安全防护，避免因误装恶意程序而造成敏感数据和隐私泄露。

    1   从仿冒域名到仿冒程序，攻击者竞相“搭车”DeepSeek

    DeepSeek的爆火，引来了各种攻击者来乘机“搭车”。除了春节期间大规模DDoS攻击、僵尸网络下场之外，各类仿冒网站、钓鱼网站、恶意软件等也开始下场，造成了广泛影响。

    早些时候，央视新闻援引奇安信XLab实验室报告和专家观点进行报道：2024年12月1日至2025年2月3日期间，共出现了2650个仿冒DeepSeek的域名。大规模的仿冒域名注册活动从2025年1月26日开始，并在1月28日达到高峰。央视提醒，这些仿域名极易令不明真相的网友蒙受损失。

    而就在近期，奇安信威胁情报中心和病毒响应中心又发现大量仿冒DeepSeek平台的钓鱼站点出现，并趁机传播伪装为DeepSeek名称的Windows程序和Android应用。其中在Windows平台，奇安信威胁情报中心率先发现恶意程序在文件名和图标上伪装为DeepSeek，运行后会展示安装DeepSeek的虚假界面，基本信息如下：

    将该样本上传奇安信情报沙箱分析后，可以看到沙箱基于智能的恶意行为综合判断已经识别出文件恶意并给出了10分的恶意评分。

    静态信息显示样本使用DeepSeek图标，文件元数据的产品名称也伪装为DeepSeek。

    奇安信天擎第一时间发现了伪装为DeepSeek名称的恶意程序传播。“这说明病毒也喜欢蹭热度，因为傍上这些明星概念，可以诱导更多用户去下载和分享，加速了病毒的传播扩散。”奇安信终端安全这样表示。

    与此同时，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒，这表明，预计未来一段时间内，包括仿冒DeepSeek在内的各种人工智能应用程序、电脑软件的病毒木马将持续增加。目前天擎支持该系列木马病毒的发现和查杀。

    2   强化终端安全运营， 将威胁化于无形

    新病毒、新花样总是层出不穷，如何提前一步防范？奇安信安全专家认为，“运营决定效果”，再强大的终端安全产品，要想真正发挥作用，都离不开持续有效的终端安全运营。

    据介绍，“数字化终端安全运营”是奇安信一直以来的终端安全运营思想，它通过指标牵引、流程驱动的方式，真正实现了可量化、可提升、可看见的闭环终端安全运营，从而确保终端安全能力的持续有效和稳步提升。

    其中，奇安信ESOP是数字化终端安全运营支撑平台，它基于“数字化运营”思想，通过基础数据集中化、运营目标数字化、运营过程标准化、运营效果可视化的方式，将运营指标和标准流程（SOP）全面融入终端安全运营全过程，并为运营工作开展和安全决策提供全面的数据支撑和过程保障。

    奇安信安全专家认为，“体系化防御、数字化运营”是确保终端安全的最佳方法：只有通过“体系化防御”健全终端安全能力，运用“数字化运营”保障终端安全效果，才能确保终端安全能力的持续有效和稳步提升。这也是奇安信在包括北京冬奥等在内的大型客户场景终端安全保障过程中，面对极端复杂的终端环境和极为严苛的安全要求时，依然能够兑现“零事故”承诺的关键。

    针对近期在PC端、手机端肆虐仿冒DeepSeek的恶意程序，奇安信威胁情报中心和病毒响应中心提醒广大用户，谨防钓鱼攻击，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行标题夸张的未知文件，不安装非正规途径来源的APP和软件。做到及时备份重要文件，更新安装补丁。

    若需运行或安装来历不明的应用，可先通过奇安信情报沙箱（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

    目前，奇安信旗下已接入威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。