Aggregator

最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。

在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。

Steam上的恶意软件

上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。

PirateFi的Steam页面

本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。”

用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。

Steam对受影响用户的通知

受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。

SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。

SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cookie和秘密被泄露。”建议用户更改所有可能受影响帐户的密码，并在可能的情况下激活多因素身份验证保护。

基于动态分析和YARA签名匹配，该恶意软件被识别为Vidar，隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe），与InnoSetup安装程序打包在一起。

攻击者多次修改游戏文件，使用各种混淆技术，并更改命令和控制服务器以获取凭据。研究人员认为，PirateFi名称中提到的web3/ b区块链/加密货币是有意为之，目的是吸引特定的玩家群体。

Steam并没有公布有多少用户受到了PirateFi恶意软件的影响，但游戏页面上的统计数据显示，可能有多达1500人受到了影响。

恶意软件渗透Steam商店并不常见，但也不是没有先例。在2023年2月，Steam用户受到了恶意Dota 2游戏模式的攻击，该模式利用Chrome n-day漏洞在玩家的计算机上执行远程代码执行。

2023年12月，当时很受欢迎的独立策略游戏《Slay the Spire》的一个mod被黑客入侵，黑客将“Epsilon”信息传输器注入其中。

目前Steam已经引入了其他措施，如开启短信验证等，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，目前这些措施还远远不够。

Recently, DeepSeek attracted global attention and triggered worldwide discussion with its advanced AI models. Meanwhile, it has become the target of hackers and suffered frequent attacks. However, with the continuous improvement of AI large model capabilities, frequent security incidents and increasing risks expose users to greater threats. This post will use the NSFOCUS Large Model […]

The post Hidden Dangers of Security Threats in the Tide of DeepSeek appeared first on NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks..

The post Hidden Dangers of Security Threats in the Tide of DeepSeek appeared first on Security Boulevard.

2025年1月，国产AI大模型DeepSeek横空出世，以媲美同性能模型的性能和不足其1/10的训练成本，一举打破国际技术垄断。然而，这场技术狂欢的背后暗流涌动——DeepSeek的崛起迅速成为全球黑客的“靶心”，从DDoS攻击到数据窃取，网络威胁持续升级这一事件不仅揭示了AI技术的双刃剑效应，也折射出数字化浪潮下企业安全的严峻挑战：数据防泄露。

作为企业日常沟通的核心载体，邮件系统既是高效协同的纽带，也是数据泄露的“重灾区”。针对企业邮件数据安全泄露问题，Coremail旗下的CACTER邮件数据防泄露系统（以下简称“EDLP”）基于深度内容识别技术，根据不同安全级别采用不同算法和策略，支持多种响应规则，对敏感数据通过邮件系统外发的行为，提供事后审计和提醒，以及事中审批和拦截，预防并阻止有意或无意的邮件数据泄露行为，保障企业数据安全。

邮件数据安全危机暗涌，数据保护急不可待

Verizon公司发布的《2024年数据泄露调查报告》显示，68%的数据泄露事件与人为因素直接相关，而邮件因其开放性成为内部误操作、外部攻击的首选载体。从高精尖制造业的机密图纸外流，到金融机构的客户隐私泄露，每一起事件都可能让企业付出数亿损失与信任崩塌的代价。

传统的邮件数据防泄露技术虽能通过规则引擎、内容检测等手段拦截风险，却在AI驱动的攻击面前力不从心。例如，ChatGPT生成的钓鱼邮件可精准模仿高管话术绕过过滤，而员工误发含敏感数据的附件等无意识泄露行为，更让风险防不胜防。当攻击手段智能化，防御体系必须同步进化——企业亟需一套既能精准识别风险，又能动态适配业务场景的解决方案。

CACTER EDLP通过加密协议技术、数据深度分析、智能学习模型、邮件附件拆解与识别等，对企业内部用户，通过邮件系统外发的邮件进行解析和内容提取，识别敏感数据，依据预定义的策略，实时响应，进而达到对邮件数据防泄露的目的。

CACTER邮件数据防泄露系统的智能防御

面对AI驱动的攻击，CACTER EDLP基于深度内容识别技术，根据不同安全级别采用不同算法和策略，支持多种响应规则，对敏感数据通过邮件系统外发的行为，提供事后审计和提醒，以及事中审批和拦截的防护体系，预防并阻止有意或无意的邮件数据泄露行为，为企业筑起邮件安全防线，保障企业数据安全。

CACTER EDLP的分区管控功能通过“用户标签”对不同区域员工的邮件进行精准管理，满足企业对不同敏感级别邮件的管理需求。系统支持多级审批，灵活配置审批层级和审批人，确保敏感邮件发送前经过严格审核。智能审批流程通过邮件交互完成审批操作，提高效率并保持透明。自动抄送与密送功能确保敏感邮件自动抄送或密送指定人员，提升邮件通信的安全性和合规性。

CACTER EDLP在邮件精准检测方面表现也十分出色。CACTER EDLP支持对邮件的收发件人、附件、关键字等进行全面检测，确保敏感信息无处遁形。系统内置智能模型和相似度查重能力，精准识别和管控敏感信息，如通讯录泄露、手机号码泄露等，提高检测准确性。CACTER EDLP还支持全检模式和效率模式，灵活选择以确保检测效率和准确性。详细的事件留痕功能记录敏感事件，为企业信息安全提供有力保障。

在数字化时代，人工智能技术的快速发展为网络安全带来了新的解决方案，企业既要抓住机遇，也要警惕数据安全风险，如何应对邮件数据泄露风险，筑牢邮件数据安全防线？ 答案将在“2月26日15:00，EDLP：邮件多场景管控，为企业审批减负”的直播中揭晓！

2月26日15:00-16:00

EDLP：邮件多场景管控，为企业审批减负

Deepseek：邮件数据防泄露领域的新机遇

数据防护：多场景邮件的全面管控

精准检测：EDLP邮件检测能力提升

立马扫码预约直播

抽取惊喜豪礼

近段时间，国产AI DeepSeek无疑是市场上最火的话题之一。随着DeepSeek的现象级爆火，网上涌现出大量仿冒DeepSeek的病毒木马App。国家计算机病毒协同分析平台近日在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒。

图片来源：央视新闻

仿冒APP名称、图标与正版应用几乎没有差别，普通用户很难分辨真假。当用户点击运行仿冒App时，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。

图片来源：央视新闻

同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载等恶意行为。

经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。

除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。

梆梆安全关于防范攻击的安全建议

企业应做好针对类似木马风险的排查工作

·排查App是否具备对开启无障碍功能的监测与提示能力，例如监测到无障碍功能被打开，可以提示“您手机无障碍功能已开启，如非本人开启，请关闭无障碍功能后再进行App操作"；

·排查App是否在关键信息录入页面具备截屏、录屏、屏幕共享的检测和响应能力；

·排查App是否使用了安全的密码键盘，是否具备按键随机化、输入内容隐匿等能力，避免被木马应用窃取密码信息；

·排查App是否具备远程操控的检测和响应能力。

企业应做好对相关安全风险的持续监测

企业应当对APP在运行期间的特定行为进行重点监测，梆梆安全移动应用安全监测平台可针对移动应用上线运行后的动态运行安全问题及运行稳定性问题进行持续监测，通过在移动应用中植入安全监测探针，利用应用运行过程中设备、系统、应用、行为四个维度数据，结合后端大数据分析平台的各种模型规则，实时监测移动应用中各种运行时攻击。同时在服务端提供威胁数据查询、推送接口，可与用户企业系统对接，帮助用户快速建立事前、事中、事后的移动应用安全态势感知体系，及时发现各种危险行为。

企业还可以针对APP应用进行加固处理，防止关键页面被截屏/录屏，防止关键信息外泄。同时，企业还可以通过梆梆安全键盘对数据进行加密处理，实现按键随机、按键内容隐匿，充分保护用户隐私数据安全。

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒。

相关病毒样本信息

用户一旦点击运行仿冒App，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。

诱导用户“更新”（左上）、诱导用户安装“带毒”子安装包（右上）、诱导用户授权其后台运行（左下）、诱导用户授权其使用无障碍功能（右下）。

同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。

除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。由此可见，网络犯罪分子已经将仿冒DeepSeek作为传播病毒木马程序的新手法。预计未来一段时间内，包括仿冒DeepSeek在内的各种人工智能应用程序的病毒木马将持续增加。

国家计算机病毒应急处理中心发布防范措施

针对该款手机木马病毒，国家计算机病毒应急处理中心发布以下防范措施：

·不要从短信、社交媒体软件、网盘等非官方渠道传播的网络链接或二维码下载App，仅通过DeepSeek官方网站或正规手机应用商店下载安装相应App。

·保持手机预装的安全保护功能或第三方手机安全软件处于实时开启状态，并保持手机操作系统和安全软件更新到最新版本。

·在手机使用过程中，谨慎处理非用户主动发起的App安装请求，一旦发现App在安装过程中发起对设备管理器、后台运行和使用无障碍功能等权限请求，应一律予以拒绝。

·如遭遇安装后无法正常卸载的App程序，应立即备份手机中的通讯录、短信、照片、聊天记录和文档文件等重要数据，在手机生产商售后服务人员或专业人员的指导下对手机进行安全检测和恢复。同时密切关注本人的社交媒体类软件和金融类软件是否具有异常登录信息或异常操作信息，以及亲友是否收到由本人手机号或社交媒体软件发送的异常信息，一旦出现上述相关情况，应及时联系相关软件供应商和亲友说明有关情况。

·警惕和防范针对流行App软件的电信网络诈骗话术，如“由于XXX软件官方网站服务异常，请通过以下链接下载官方应用程序”“由于XXX软件更新到最新版本，需要用户重新授予后台运行和无障碍功能权限”等，避免被网络犯罪分子诱导。

·对已下载的可疑文件，可访问国家计算机病毒协同分析平台进行上传检测。

文章来源自：央视新闻