- A Check Point analisou 3 mil arquivos associados ao DeepSeek e identificou 1.383 que eram maliciosos ou perigosos, entre eles uma amostra que pode virar ransomware no navegador.
- O código, gerado pelo DeepSeek, poderia ser facilmente transformado em um ataque de ransomware “In-Browser Ransomware”, que usa phishing para obter acesso ao sistema de arquivos da vítima.
- Sem exigir instalação de payload nem explorar vulnerabilidades do navegador, a técnica aproveita o acesso concedido para ler, exfiltrar, criptografar e sobrescrever arquivos, e exibir uma mensagem de resgate.
- A amostra, chamada InfernoGrabber 9000, mira usuários Android via navegador; o VirusTotal classifica a ameaça como ladrão de informações e toolkit de ransomware.
- O estudo aponta que, embora haja mecanismos de segurança no navegador capazes de mitigar o impacto, a combinação de IA com os conceitos existentes pode gerar ataques práticos a partir de páginas web.
O estudo da Check Point analisou 3 mil arquivos associados ao DeepSeek, com foco em identificar ameaças potenciais. Entre mais de 1 mil itens considerados perigosos, uma amostra chamou atenção por poder evoluir para um ransomware no navegador. A descoberta foi publicada nesta quarta-feira (1).
A Check Point avaliou 1.383 arquivos como maliciosos ou de alto risco por meio de detecção no VirusTotal e por análise estática de código. Os dados foram obtidos a partir de telemetria pública do último ano, com tipos de documentos que vão de Python a PowerShell, passando por HTML e JavaScript.
O material analisado mostra que o DeepSeek pode gerar uma base de código apta a evoluir para um ataque no navegador, sem exigir a instalação de payload no dispositivo ou exploração de vulnerabilidades do navegador. A IA utilizada pela ferramenta contribuiu para combinar técnicas de phishing, exfiltração de dados e criptografia.
Ameaça identificada
Uma amostra é descrita como autorizando uma página web a acessar o sistema de arquivos do usuário, listar arquivos locais, ler conteúdos, criptografá-los e exigir resgate. A técnica é conhecida como In-Browser Ransomware, segundo os pesquisadores, e não depende de falhas explícitas do navegador para funcionar.
Segundo a conclusão da equipe, a página maliciosa pode atuar como uma ferramenta de upscaling de avatar do Discord, sem necessidade de instalar um payload. A ameaça surge a partir de uma articulação de requisitos fornecidos pela IA, que resultou em uma estrutura base contida em uma página web.
A análise aponta que mecanismos de segurança nativos do navegador devem impedir a maioria das funcionalidades do malware. Ainda assim, os especialistas ressaltam que o método representa um ataque novo pela combinação de conceitos conhecidos e pela potencial capacidade de exfiltrar dados e criptografar arquivos.
Detalhes técnicos e contexto
O pesquisador Pedro Drimel Neto destacou que a amostra de código original, ainda incompleta, pode ser convertida em um ataque funcional com baixo esforço. Ele explicou que não é necessário alto nível de expertise para adaptar o código. O estudo identifica o risco de uso indevido de permissões concedidas pelo usuário, via página web, para manipulação de arquivos.
A amostra é apelidada de InfernoGrabber 9000 e, segundo o VirusTotal, é classificada como ladrão de informações e toolkit de ransomware. A Check Point não confirma a origem exata do código, mas sugere que o prompt inicial pode ter pedido uma ferramenta maliciosa universal que rode pelo navegador e colete dados, criptografe arquivos e exija pagamento.
Impactos e próximos passos
Os pesquisadores destacam que a ameaça não depende de uma exploração de vulnerabilidade específica, mas sim da permissão concedida pelo usuário. O estudo ressalta a importância de políticas de segurança, como avisos sobre acesso a sistemas de arquivos via navegador e controles de permissões. O relatório completo está disponível no site da Check Point Research.
Entre na conversa da comunidade