警惕，黑客借助DeepSeek热潮投放后门木马窃取用户密码

主要观点总结

分析了一种名为Install_DeepSeek.exe的恶意软件样本，该样本从黑客的GitHub仓库下载多层脚本和下载者，最终通过下载得到一个使用Python编写的恶意脚本用于执行后门行为并窃取密码。详细描述了样本的主要行为、关键组件和类结构，包括文件传输、屏幕截图、窃取浏览器Cookies和其他敏感信息等。还提到了相关的GitHub账户和仓库。

关键观点总结

关键观点1: 恶意软件样本描述

该样本名为Install_DeepSeek.exe，是一个伪装成DeepSeek图标的可疑样本，无有效数字签名，从黑客的GitHub仓库下载多层脚本和下载者，最终通过下载得到一个使用Python编写的恶意脚本。

关键观点2: 主要行为

该恶意软件的主要行为包括窃取浏览器Cookies、浏览器历史记录、浏览器文件下载记录、浏览器书签、无线局域网SSID及密码、系统信息、剪贴板内容等，并将这些信息压缩为zip文件发送给黑客。

关键观点3: 样本分析

样本使用PowerShell解压缩文件，启动脚本并执行Python解释器，通过执行Python脚本实现核心功能。Python脚本代码被混淆处理，通过解码后才能阅读。

关键观点4: 相关GitHub账户和仓库

恶意行为者的GitHub账户和相关仓库在本文撰写时仍然可访问，这些仓库可能用于存储和分享恶意软件和工具。

免责声明