Deepseek misbruges til blackhat SEO

2025-02-11

Interessen for den kinesiske AI service, Deepseek er stor. Det har it-kriminelle opdaget, og det udnytter de aktivt. Søgninger via Google på f.eks. Installer Deepseek risikerer at lande på en skadelige webside som tilbyder en trojaniseret installationspakke. Et sådan eksempel findes herunder som dropper datatyven Bumblebee.

Websiden (saniteret) https://nfcgov[.]com tilbyder en installationspakke som foregiver at være Deepseek. Hvis man klikker på download (se skærmdump herunder) så tilbydes en skadelig fil fra (saniteret)
https://5.61.58[.]167/files/DeepSeekSetup.msi (SHA256 hash: 31b72e1c246b4f38e70f9c8c556a626b15736589860f3231001bb4ebae749239)

Hvis denne MSI pakke køres, så droppes følgende filer til windows maskinen:

[%APPDATA%]\Microsoft\DeepSeek\prerequisites\ESE\CapCut_7419153831717552145_installer.exe
[%APPDATA%]\CZPgtmlLgThm.dll

Den sidstnævnte eksekveres ved at spawne msiexec:
msiexec.exe /Y "[%APPDATA%]\CZPgtmlLgThm.dll"

Denne kode er i bumblebee klassen og vil gøre anvendelse af en DGA (Domain Generation Algorithm) til kommunikation med en C&C hvor den kompromitterede maskine indrulles. Den pågældende DGA anvender følgende basale konfiguration:

DGA Seed: 13073764856797028147
Domain Length: 10
Number of DGA Domains: 300
Port: 443

Det giver ved en hurtig fremskrivning følgende potentielle domæner til C&C konttrol (saniteret)

nvg55tpgvn[.]click
ulbun31qmv[.]click
7oc6be5fmy[.]click
bm76b9296k[.]click
h7xupkk0d3[.]click
fi7anseaj7[.]click
0u4bcayb8u[.]click
1cckgd13z5[.]click
562z75s3bp[.]click
1smmlbbiqr[.]click
cc5fi2q6ca[.]click
xisdha07tt[.]click
rvi6iv6l5v[.]click
kddpj0gryr[.]click
jmpxjjqhe8[.]click
ui1b0rvu0k[.]click
kqiqovthoj[.]click
zbldvupsdc[.]click
qdhqoj9s20[.]click
g841i9ksgn[.]click
uu4cx79e90[.]click
m9a2qfmqay[.]click
kc8svtokry[.]click
st9rdv9xai[.]click
i4965hr9jc[.]click
wkxfgjwonu[.]click
53y5nwsc6j[.]click
7ou7og586r[.]click
r5wrzrk1bi[.]click
am7gd0loc1[.]click
a2cey1j0xl[.]click
il1nlb7tn0[.]click
d7x2whgood[.]click
b5sqn635n9[.]click
nox7lvewcl[.]click
5buum8t9vl[.]click
fb25x2ju7i[.]click
ral9rhuaxy[.]click
mt9ycu98jr[.]click
8vndou1xlz[.]click
ul6105p00e[.]click
9hqid2tzng[.]click
lxw6duivu7[.]click
0dhalnnwr5[.]click
p6xuzncl71[.]click
lwpk3miw9n[.]click
t792ufhvll[.]click
o0fivl26q7[.]click
hmh20ykvlf[.]click
ixu6xial6v[.]click
dv14q2l82c[.]click
wz4pnl68jg[.]click
6709v1hcy1[.]click
x0822sepnx[.]click
ft8qxfxurc[.]click
64ud5xnryz[.]click
gflgt8sbzn[.]click
27c28lnp3v[.]click
g2to6sz5pi[.]click
i76uhrb930[.]click
h3p2sxyyk8[.]click
g90uubdr4p[.]click
nmgyqyrb8b[.]click
a53faphpe4[.]click
2wqfxxycnk[.]click
xa7wlz3r5y[.]click
27v2bofhl4[.]click
uc38lfln1t[.]click
akk5t6frjq[.]click
kiuxl1yijx[.]click
689c3d8ylq[.]click
3j6smer0tm[.]click
b8w2qcig4n[.]click
85ciukct31[.]click
b4j8gnyy3a[.]click
roc72ievev[.]click
3sehf3t4x5[.]click
hztr0qlwke[.]click
vig3u2t4fm[.]click
ehca1iots2[.]click
b4c6xa0j4f[.]click
y65z9jsgrh[.]click
a9ph8qf8d6[.]click
lp09sfynbd[.]click
62dp72sdft[.]click
7y2yvpkuff[.]click
y3hhmeydtr[.]click
kh2e843low[.]click
bao2cdlwd0[.]click
ufbt7kts4x[.]click
dls5ae3bfp[.]click
cbwsfxcdei[.]click
56azbsx5nm[.]click
rjafv9rkqq[.]click
cjbdm0nhub[.]click
xt58p1nya3[.]click
6y3igtg9t6[.]click
4q3m78acq6[.]click
rjj19c1jpn[.]click
nepygxz419[.]click
45uxfcmd39[.]click
pgjcqit925[.]click
75f6f1w33o[.]click
ljn1z45vhq[.]click
icubce4khx[.]click
va7ipkx0be[.]click
pnvreg8x1y[.]click
ak94ypsccm[.]click
t19prsb6tn[.]click
1p2alr73vu[.]click
vb25od0prp[.]click
nwd8iw9s0v[.]click
fgo6ht7f53[.]click
0gpc9bw4u1[.]click
roe2j411xl[.]click
yba2edcldt[.]click
8rw9jhcenm[.]click
6aqyzvre0r[.]click
7iwrjx9gz0[.]click
wt5jho6fwo[.]click
66q91fugn5[.]click
usdt67a50l[.]click
p2d8uedq80[.]click
7os6ak1hbb[.]click
3kuys3ewv4[.]click
3hxcwahlpf[.]click
kmquuw37td[.]click
d3bvlw20er[.]click
uw6ns5hvy4[.]click
7ujqandds2[.]click
nsmdrrzxjp[.]click
4ddou9872c[.]click
btl89a3rwn[.]click
cy46uzqi4f[.]click
8h190hskyb[.]click
zhfx7glmdw[.]click
hajbxv0c2v[.]click
fcskmybxwr[.]click
p3cq1w5r7g[.]click
vp8m8xbg5m[.]click
ezmsd75lhe[.]click
nrw5skueou[.]click
cv7kb9dz91[.]click
ybe0gfw3qt[.]click
dq2z0y9csj[.]click
c63jt1hfwa[.]click
9rs7axe4za[.]click
iqc5deqaie[.]click
e28y6x3j3g[.]click
alxccyd8dh[.]click
66y7xsiqlf[.]click
nq6tnp761c[.]click
aluory5qfl[.]click
81zm5a5g9n[.]click
ufl7i9hmt1[.]click
nv7wbhc818[.]click
jqs7cxnbi4[.]click
rega9fyfpx[.]click
58zw8vhjr5[.]click
8tt83qzcq6[.]click
dsg2r2kq0a[.]click
punzeemzny[.]click
eehq8ss3yz[.]click
6pbugwu93y[.]click
imzv005r3o[.]click
6oxxm9nx9d[.]click
mxfeh1pwds[.]click
snglx6pb33[.]click
4qp8nh2vne[.]click
56j99fpadq[.]click
gxr2xu29ge[.]click
e6mp3nvz9u[.]click
6x8gg3nbme[.]click
rf7se18cyw[.]click
vvn7jm2ag5[.]click
rkgq6lk77x[.]click
xtc4f7gax7[.]click
1r023rdyp4[.]click
t7rsa4z24q[.]click
0sart8cqbx[.]click
q8as06ncbn[.]click
brdhxlmme0[.]click
onu3mtmqyn[.]click
2xkmymk1hj[.]click
7ceyexwuce[.]click
2fnprbf7f0[.]click
az0qytiwfk[.]click
qw29coixci[.]click
96gv0kvbxb[.]click
wo6ukcgjwy[.]click
8ri49slbox[.]click
dwx4t70m9n[.]click
35tvv0rdqr[.]click
lb442inpjx[.]click
l4yws3edxr[.]click
jbx8p0a58f[.]click
u2ejhf3ok7[.]click
4ade0dllwb[.]click
7m4t2a3vp0[.]click
n8g3y6zj1d[.]click
m8upx4ecup[.]click
7pxdgqfz7u[.]click
s9e6t55h4b[.]click
dz00bieqet[.]click
71qe8ditqb[.]click
u1sir3p4rc[.]click
sq4uso9lnx[.]click
dzutub700u[.]click
tzkny08b2y[.]click
cqbqpjfkws[.]click
5yvebug9k4[.]click
kxbzvtg7v4[.]click
oa2a8w8lvx[.]click
t80l9iuufi[.]click
85d73x9hjx[.]click
pwgbx9rqap[.]click
on6x7xwoy7[.]click
8vvh0jbqd0[.]click
3r613gqzl2[.]click
8led7zzey9[.]click
1bqv1lzjzv[.]click
dsq1lipv2t[.]click
xmjalyvg92[.]click
6pzlval6k9[.]click
v0sunq4e18[.]click
mv51x5kfad[.]click
u1jeqp0t6a[.]click
vf7b9fg30l[.]click
6s2ti8rxvd[.]click
b8nir721kn[.]click
bbgw63uuji[.]click
2hgk63egag[.]click
8betz225xp[.]click
qs4eujbwj3[.]click
gmbr1am8na[.]click
gelt9hoabf[.]click
vk4p0ebgci[.]click
wkoxixd1yj[.]click
55245v7fzs[.]click
ffjhws2gre[.]click

Flere af disse potentielle DGA domæner er allerede blevet sinkholet af forskellige it-sikkerhedsfirmaer. Man kan med fordel blokere dem i sin DNS eller anden sikkerhedsløsning.

Hvis man kigger på den server der anvendes til at tilbyde den skadelige kode så fremgår det at den er hjemhørende i Holland (saniteret):

Network 5.61.48[.]0/21
Autonomous System Number 58061
Autonomous System Label Scalaxy B.V.
Country NL

Blackhat SEO angreb på populære og trendy søgeord er fortsat en populær måde for it-kriminelle at kompromittere maskiner.

Udvis forsigtighed og træn awareness, og blokerer aktivt for skadelige domæner og IP adresser.

Share