警惕!一个高仿DeepSeek的钓鱼网站及恶意安装包分析
0x00 事件背景
近期在搜索DeepSeek相关信息时,发现了一个高仿钓鱼网站 web.deepseekem.com,其页面设计与DeepSeek官网(deepseek.com)高度相似,普通用户几乎无法肉眼区分。
更严重的是,该网站诱导用户下载名为 DeepSeekV20.66-Setup.zip 的恶意安装包,声称是”DeepSeek电脑客户端”。经技术分析确认,这是一个典型的钓鱼攻击行为,利用AI热点传播木马程序。
核心结论先行:
-
DeepSeek官方从未推出Windows或Mac客户端
-
所有”电脑版安装包”均为钓鱼木马
-
官方服务永久免费,无任何付费项目
0x01 钓鱼网站特征分析
1.1 域名仿冒
| 对比项 | 官方 DeepSeek | 仿冒网站 |
|---|---|---|
| 域名 | deepseek.com 或 chat.deepseek.com | web.deepseekem.com(多了”em”) |
| 页面设计 | 高度相似(完全抄袭) | 高度相似 |
| 性质 | 官方认证,安全可靠 | 仿冒域名,高危风险 |
1.2 盗用备案号
仿冒网站直接抄袭了官方的ICP备案信息:
| 项目 | 官方信息 | 仿冒网站显示 |
|---|---|---|
| 备案号 | 浙ICP备2023025841号-1 | 完全相同(盗用) |
| 主办单位 | 杭州深度求索人工智能基础技术研究有限公司 | 完全相同(盗用) |
技术说明:ICP备案号与域名是一对一绑定的。一个备案号只能对应一个域名,deepseek.com 的备案号不可能同时属于 deepseekem.com。仿冒网站的服务器通常设在境外(如美国、香港),无法在中国工信部完成真实备案,因此只能盗用正规备案号来欺骗用户。
验证方法:
-
访问工信部ICP备案查询官网:
https://beian.miit.gov.cn -
输入域名
deepseekem.com进行查询 -
如果查不到任何记录,或查到的主办单位与网站显示不一致,即为仿冒网站
1.3 已知风险
该仿冒网站已被安全机构报告用于传播 BrowserVenom木马,可窃取浏览器数据、劫持上网行为。具体行为包括:
-
窃取浏览器中保存的密码、Cookies
-
监控并篡改用户上网行为
-
强制跳转至钓鱼页面
-
在后台窃取用户输入的所有信息
0x02 恶意安装包检测分析
2.1 样本基本信息
| 项目 | 信息 |
|---|---|
| 文件名 | DeepSeekV20.66-Setup.zip |
| 托管地址 | kk9win.oss-cn-hongkong.aliyuncs.com |
| 文件格式 | ZIP压缩包 |
| 首次提交 | 2026-04-02 |
| 末次分析 | 2026-04-02 11:48:25 |
2.2 微步在线云沙箱检测结果
| 检测维度 | 结果 | 说明 |
|---|---|---|
| 微步情报检测 | 恶意 | 威胁情报系统确认该域名为恶意 |
| 引擎检出率 | 2/13 | 13个检测引擎中有2个报恶意软件 |
| 检出引擎 | ThreatBookLabs、CheckURL | 均标记为”恶意软件” |
| 钓鱼模型检测 | 未知 | 模型未检出,但情报已确认为恶意 |
2.3 关联恶意文件记录
该域名下存在历史恶意文件记录:
| 发现时间 | URL | SHA256 | 检出率 |
|---|---|---|---|
| 2026-03-19 | http://kk9win.oss-cn-hongkong.aliyuncs.com | 29b470e11f5b755e31c141e1cd95597ae689e3ea131cb680b0221cf54e509e33 | 2/13 |
| 2026-01-09 | https://kk9win.oss-cn-hongkong.aliyuncs.com/dow/ | 93b19d038ab57cd9ed8065e97d3fd16f5b4b2614543a3698cfe1bb40530cc616 | 1/13 |
分析结论:该域名(kk9win.oss-cn-hongkong.aliyuncs.com)自2026年1月起就有恶意文件传播记录,是一个持续活跃的恶意软件分发源。
2.4 恶意软件行为分析
根据沙箱检测报告和行为特征,该恶意软件具备以下能力:
| 行为类型 | 具体描述 | 危害等级 |
|---|---|---|
| 信息窃取 | 窃取浏览器保存的密码、Cookies、加密货币钱包 | 严重 |
| 浏览器劫持 | 监控上网行为、强制跳转钓鱼页面 | 严重 |
| 键盘记录 | 记录用户输入的所有内容(账号、密码、聊天内容) | 严重 |
| 远控后门 | 可能允许攻击者远程控制受害机器 | 严重 |
0x03 应急处置方案
3.1 如果已下载但未运行
-
立即删除下载的
.zip文件 -
清空回收站
-
运行杀毒软件扫描下载目录
-
检查浏览器下载记录,确认没有其他可疑文件
3.2 如果已解压但未运行
-
删除整个解压文件夹
-
运行全盘杀毒扫描
-
检查是否有文件关联被修改
3.3 如果已运行安装程序(最高风险)
请立即按顺序执行以下操作:
第一步:全盘杀毒
-
Windows Defender:设置 → 隐私和安全性 → Windows安全中心 → 病毒和威胁防护 → 扫描选项 → 完全扫描
-
或使用第三方杀软(360、火绒、腾讯电脑管家等)进行全盘扫描
第二步:修改密码
-
修改所有重要账号密码(邮箱、社交软件、网银、DeepSeek等)
-
开启双重验证(手机验证码/身份验证器)
-
检查账号是否有异常登录记录
第三步:检查系统异常
-
任务管理器中查看CPU/内存占用是否异常升高
-
检查浏览器是否有陌生插件或主页被篡改
-
观察是否有不明弹窗或网络连接
3.4 长期安全建议
-
仅从官方渠道使用DeepSeek(见下文)
-
不轻信搜索引擎广告中的下载链接
-
不下载来源不明的”.exe”或”.zip”文件
-
保持杀毒软件实时防护开启
0x04 官方渠道确认
请务必认准以下官方渠道,所有声称需要付费解锁、充值、获取内测资格的均为诈骗:
| 使用方式 | 唯一官方渠道 |
|---|---|
| 官方网站 | deepseek.com 或 chat.deepseek.com |
| 官方App | 苹果App Store、各大安卓手机官方应用商店 |
| 开发者信息 | 杭州深度求索人工智能基础技术研究有限公司 |
| 官方社交账号 | 微信公众号、小红书、X(Twitter)平台,认证账号为 DeepSeek |
官方重要声明:
-
DeepSeek官方服务(网页端、App端)永久免费
-
DeepSeek从未推出过Windows或Mac电脑客户端
-
不存在”付费内测资格”、“充值解锁高级功能”等任何付费项目
0x05 核心安全准则
遇到可疑网站或文件,请记住以下判断标准:
| 判断维度 | 官方特征 | 可疑特征 |
|---|---|---|
| 域名 | deepseek.com 或 chat.deepseek.com | 多字母、少字母、替换字母(如 deepsek.com、deepseekem.com) |
| 客户端 | 无电脑客户端 | 任何要求下载安装包的 |
| 收费 | 永久免费 | 任何要求付费的 |
| 下载渠道 | 官方应用商店 | 第三方网站、网盘、搜索引擎广告 |
| 备案信息 | 可通过工信部官网验证 | 盗用备案号或无备案 |
一句话总结:不是 deepseek.com,就不要输入任何信息;任何要求下载电脑客户端的,一律是木马。
0x06 参考资料与工具
| 工具/平台 | 用途 | 网址 |
|---|---|---|
| 工信部ICP备案查询 | 验证网站备案真实性 | https://beian.miit.gov.cn |
| 微步在线云沙箱 | 恶意文件/URL分析 | https://s.threatbook.com |
| VirusTotal | 多引擎病毒扫描 | https://virustotal.com |
| 奇安信威胁情报中心 | 威胁情报查询 | https://ti.qianxin.com |
| Joe Sandbox | 深度行为分析 | https://joesandbox.com |
0x07 总结
本文分析了一个利用DeepSeek热度进行传播的钓鱼攻击事件:
-
钓鱼网站
web.deepseekem.com通过仿冒域名、盗用备案号、抄袭页面设计来欺骗用户 -
恶意文件
DeepSeekV20.66-Setup.zip经沙箱检测确认为恶意软件,可窃取信息、劫持浏览器 -
攻击源
kk9win.oss-cn-hongkong.aliyuncs.com自2026年1月起持续传播恶意文件 -
DeepSeek官方无电脑客户端、永久免费,所有声称相反的均为诈骗
希望本文能帮助更多人识别此类钓鱼手法,避免财产和信息安全损失。
本文为技术安全分享,欢迎转载。如发现类似可疑网站,建议通过微步在线等平台提交分析,并提醒身边人注意防范。