（更新：已下架）苹果 App Store 现 OCR 恶意软件，能读取截图窃取加密货币；

（2 月 7 日 07:30 更新）：苹果公司已下架相应软件

IT之家 2 月 6 日消息，据卡巴斯基实验室近日发布的一份报告显示，首次在苹果 App Store 中发现含有读取截屏内容代码的恶意软件。这种恶意软件被称为“SparkCat”，具备光学字符识别（OCR）功能，能够识别 iPhone 用户截屏中的敏感信息。卡巴斯基发现的这些恶意应用主要目标是定位加密货币钱包的恢复短语，从而使攻击者能够窃取比特币和其他加密货币。

据IT之家了解，这些应用包含一个恶意模块，该模块使用基于谷歌 ML Kit 库创建的 OCR 插件，识别 iPhone 图像中的文本。当找到加密钱包的相关图像时，它就会被发送到攻击者访问的服务器。

卡巴斯基表示，SparkCat 自 2024 年 3 月左右开始活跃。类似的恶意软件曾在 2023 年被发现，当时针对的是安卓和 PC 设备，现在已蔓延到 iOS。卡巴斯基在 App Store 中发现了几款带有 OCR 间谍软件的应用程序，包括 ComeCome、WeTink 和 AnyGPT，但目前尚不清楚感染是“开发者蓄意行为”还是“供应链攻击的结果”。

这些受感染的应用程序在下载后会请求访问用户照片的权限，如果获得许可，它们会使用 OCR 功能搜索图像，寻找相关文本。其中几款应用目前仍在 App Store 中，似乎针对的是欧洲和亚洲的 iOS 用户。

虽然这些应用程序的目标是窃取加密货币信息，但卡巴斯基表示，该恶意软件具有足够的灵活性，也可以用于访问截屏中捕获的其他数据，例如密码。安卓应用也受到影响，包括来自谷歌 Play Store 的应用，但 iOS 用户通常认为他们的设备不易受到恶意软件的攻击。

卡巴斯基建议用户避免在照片库中存储包含加密钱包恢复短语等敏感信息的截屏，以防范此类攻击。

DeepSeek爆火引山寨潮，超两千仿冒域名潜藏风险

2月5日，奇安信XLab 实验室最新报告称，仿冒 DeepSeek的网站、钓鱼网站已经超过2千个，并还在快速增加中，用户需要高度警惕。这些仿冒网站利用相似的域名和界面来误导用户，用来传播恶意软件、窃取个人信息或骗取订阅费用。此外，骗子紧跟技术潮流，利用市场的兴奋情绪，还推出了所谓“DeepSeek 加持”的各种高大上功能的空气币（无实质价值的虚拟货币），甚至出现宣称可以购买DeepSeek内部原始股的网站。这种模式与过往许多科技爆款（如 ChatGPT）在爆火后迅速出现大量仿冒和诈骗的趋势高度相似，也可能给用户带来大额财产损失。

奇安信XLab实验室对2024年12月1日至2025年2月3日期间的域名注册情况进行了统计分析，发现在此期间共出现了2650个仿冒DeepSeek的网站。大规模的仿冒域名注册活动从2025年1月26日开始，并在1月28日达到高峰，尽管随后的增长幅度有所减少，但仿冒域名的数量仍在持续增加。根据奇安信XLab对当前DeepSeek仿冒域名解析结果来看，这些仿冒域名的使用用途主要为钓鱼欺诈、域名抢注、流量引导，其中钓鱼欺诈主要通过窃取用户登录凭证、利用相似域名和界面误导用户、诱骗用户购买虚拟资产等手段实施诈骗。此外，这些仿冒DeepSeek的域名中有60%解析IP位于美国，其余主要分布在新加坡、德国、立陶宛、俄罗斯和中国，仿冒域名所呈现出的全球化特点，意味着用户可能面临来自世界各地不同类型的网络攻击，潜在安全威胁更加复杂多样。

以下是奇安信XLab 实验室《DeepSeek 出现大批仿冒域名并在持续增加中》报告原文：

网络安全领域，由于大规模的基础数据支持，奇安信XLab在多个领域拥有很好的全局视野，能够实时监测互联网中的各种活动，也因此能够发现许多有趣的现象。每当出现重大突发事件或现象级的爆火产品，总会有不同目的的行为随之而来。奇安信XLab不仅能看到技术进步如何推动社会发展，同时也能看到一些别有用心的行为在暗中滋生。例如，最近的加州大火引发了全球的关注，人们纷纷捐款以支援灾区。然而，黑客们却利用这种同情心，迅速设立假冒救灾网站，通过钓鱼手段骗取善款，导致不少善良的捐助者上当受骗。类似的情况，在科技领域的现象级事件中也屡见不鲜。最近，中国的DeepSeek成为了人工智能领域的现象级爆火服务，短时间内吸引了大量关注。然而，奇安信XLab在大规模域名观测系统中发现，DeepSeek的爆火也带来了大量的仿冒网站、钓鱼网站。目前，XLab检测到的仿冒 DeepSeek相关网站数量，已成为近期监测数据中仿冒、抢注、钓鱼最多的类别之一。通常假冒抢注的网址数字多在十位级别至多百级别，但是这次已经有超过2千个域名，而且现在这个数字还在快速增加。这类模仿现象，有的可能只是出于商业目的，想借助 DeepSeek 的热度售卖有前途的域名或者吸引用户；但也有不少恶意行为者，利用相似的域名和界面来误导用户，甚至传播恶意软件、窃取个人信息或骗取订阅费用。除此之外，骗子紧跟技术潮流，利用市场的兴奋情绪，还推出了所谓“DeepSeek 加持”的各种高大上功能的空气币（无实质价值的虚拟货币）。这种模式与过往许多科技爆款（如 ChatGPT）在爆火后迅速出现大量仿冒和诈骗的趋势高度相似。因此，奇安信XLab 实验室统计了从2024年12月1日到2025年2月3日两个月的时间域名注册情况，共观察到2650个仿冒DeepSeek的网站。首次看到仿冒deepseek域名的注册时间在2024年12月14日，绝大多数的域名注册在2025年1月26日之后。此外由于数据获取有一定的延迟，因此真实数字要比这个数据会更大。

注册时间分布

大规模的仿冒注册从1月26日开始，1月28日达到顶峰，当天超过800个域名，随后几天数据有所下降。

注册商的情况

1. 共涉及180个左右不同的注册商
2. Top10的注册商占了总域名数量的69%
3. 同正常域名注册类似，头部的几个分别为GoDaddy，阿里云以及Spaceship等域名注册商。

在TLD方面

最多的仍然是通用顶级域，其次是国家顶级域以及新顶级域。

TLD的具体分布如下：

在注册人方面

绝大多数的域名注册人都采用了隐私保护。无法看出是否存在同一个实体进行大批量注册的情况。

在解析结果方面

美国有全球最大的域名注册机构和云服务商，所以解析结果60%位于美国。接下来是新加坡，德国，立陶宛，俄罗斯和中国。这六个国家占了总解析IP数量的86.9%。

从AS来看，主要解析在域名注册商和云服务厂商中。

域名用途

从域名解析结果来看，这些域名的使用主要有如下几个用途：

1.钓鱼欺诈类，用来窃取用户登录凭证或者诱骗用户购买相关的虚拟资产。钓鱼相关页面如下：

2．通过空气币诱骗用户的网站，有很多，比如：

3．购买股票网站：除了常规的空气币诈骗之外，骗子甚至宣称可以抢先购买deepseek原始股，着实很动心暴富的机会来了吗？

4.域名抢注，以期后续能够通过域名获得较好的收益。比如下面这种deepseekagent.com目前标价37.95万人民币，即使DeepSeek目前的热度，这个价格也已经着实不低了。

5.做AI研究相关的个人或组织，通过这种方式提高其网站曝光度和紧跟研究热点。比如下面的站点：

一些域名样例

deepseekr3.com

deepseekwin.com

deepseekcto.com

netdeepseek.com

deepseekgod.com

domaindeepseek.com

deepseek-ai-assistant.com

localdeepseek.com

deepseekv3.com

deep-seek-r1.pw

seeksdeeper.com

deepseeky.com

deepseekai.pics

finetunedeepseek.com

deepseekjournal.com

ideepseekai.com

deepseek-chat.vip

discoverdeepseek.com

learndeepseek.org

deepseek.cam

deepseekportfolios.com

deepseeksol.xyz

deepseekmoscow.ru

deepseeknow.xyz

godeepseek.xyz

deepseekspan.com

agideepseek.com

deepseekworkflow.com

openaideepseek.com

deepseek-ai.space

bdeepseek.com

deepseekaiapk.com

deepseek-bank.com

deepseek27.com

deepseekindustry.com

deepseekcoin.net

deepseekpartners.org

aideepseek.se

deepseekasia.online

8deepseek.com

deepseekphone.com

deepseek123.com

受影响情况及安全建议

从我们PassiveDNS数据来评估，这些域名的流行度都不太高。绝大多数的域名访问量都极少，只有3个域名的访问来源数量超过50。尽管这些伪造的DeepSeek域名在应用形态方面呈现出多种形式，不过这些域名的解析都处在快速的变化之中。出于严格的安全考虑，建议用户在访问DeepSeek相关的服务时，务必访问其官方网站deepseek.com 以及 deepseek.cn。其他的域名除非你能够确认访问的的身份，否则不建议进行深度交互，尤其是涉及到用户名密码相关的敏感数据，都需要慎之又慎。
DeepSeek上线后遭遇的网络攻击时间线梳理

2月5日

仿冒 DeepSeek的网站、钓鱼网站已经超过2千个，并还在快速增加中

1月30日

2个Mirai变种僵尸网络（HailBot、RapperBot）参与攻击，攻击指令激增100多倍，预示着“职业打手”进场

1月27、28日

增加大量HTTP代理攻击，手段转为应用层攻击，防御难度提升

1月26日

开始出现大批仿冒DeepSeek的域名，1月28日达到顶峰

1月20日、22-26日

以易被清洗的SSDP、NTP反射放大攻击为主，少量HTTP代理攻击

1月3日、4日、6日、7日、13日

疑似HTTP代理攻击，出现大量通过代理去链接DeepSeek的代理请求

文章来源 ：IT之家、安全内参

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍