警惕，黑客借助DeepSeek热潮投放后门木马窃取用户密码

主要观点总结

分析了一种名为Install_DeepSeek.exe的恶意软件样本，该样本从黑客的GitHub仓库下载多层脚本和下载者，最终通过下载得到一个使用Python编写的恶意脚本用于执行后门行为并窃取密码。详细描述了样本的主要行为、关键组件和类结构，包括文件传输、屏幕截图、窃取浏览器Cookies和其他敏感信息等。还提到了相关的GitHub账户和仓库。

关键观点总结

关键观点1: 恶意软件样本描述

该样本名为Install_DeepSeek.exe，是一个伪装成DeepSeek图标的可疑样本，无有效数字签名，从黑客的GitHub仓库下载多层脚本和下载者，最终通过下载得到一个使用Python编写的恶意脚本。

关键观点2: 主要行为

该恶意软件的主要行为包括窃取浏览器Cookies、浏览器历史记录、浏览器文件下载记录、浏览器书签、无线局域网SSID及密码、系统信息、剪贴板内容等，并将这些信息压缩为zip文件发送给黑客。

关键观点3: 样本分析

样本使用PowerShell解压缩文件，启动脚本并执行Python解释器，通过执行Python脚本实现核心功能。Python脚本代码被混淆处理，通过解码后才能阅读。

关键观点4: 相关GitHub账户和仓库

恶意行为者的GitHub账户和相关仓库在本文撰写时仍然可访问，这些仓库可能用于存储和分享恶意软件和工具。

文章预览

作者 论 坛账号：ahov 背景 在日常样本巡逻中，我们在今天发现了一个名为 Install_DeepSeek.exe 的可疑样本在传播，如下图所示： 该样本打着DeepSeek的图标，无有效数字签名，pdb路径为 C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb ，这引起了我们的警觉和怀疑，如下图所示： 经过分析，我们确定，该样本会从黑客GitHub仓库中下载多层脚本和下载者，嵌套下载，最终通过下载得到一个使用Python编写的恶意脚本用于执行后门行为并窃取密码。截至本文撰写时该py脚本首次在VirusTotal多引擎扫描平台上传并扫描，静态检出率为0%，如下图所示： 同时，我们发现黑客的GitHub账户上有多个类似的仓库，均在几个月或几周前上传了恶意软件，如下图所示： 样本分析 Install_DeepSeek.exe 的主要行为是下载 https://github.com/nvslks/g/raw/refs/heads/g/g.zip ，如下图所示： 在 https ………………………………