Pesquisadores de segurança encontraram uma amostra de código gerado pelo DeepSeek que, com pouco esforço, podia ser transformada em um ransomware no navegador. O achado estava contido entre 1.383 arquivos maliciosos associados ao chatbot analisados pela Check Point, empresa americano-israelense especialista em cibersegurança.
Publicado nesta quarta-feira (1), o estudo envolveu a análise de 3 mil arquivos associados ao DeepSeek observados em dados de telemetria públicos ao longo do último ano. A base de dados continha documentos de diferentes tipos, incluindo Python, Batch, HTML, JavaScript e PowerShell. Destes, 1.383 foram considerados maliciosos ou perigosos pela detecção do VirusTotal ou análise estática da fonte.
smart_display
Nossos vídeos em destaque
Dentre os arquivos, uma amostra implementava uma técnica perigosa, nativa de navegador, cuja exploração ainda não foi observada em ambiente real. O método ficou conhecido como “In-Browser Ransomware” (algo como “Ransomware no navegador”, em tradução livre). “Ele utiliza um artifício de phishing para persuadir a vítima a conceder a uma página da web acesso ao sistema de arquivos; uma vez concedido o acesso, a página pode listar arquivos locais na pasta selecionada, ler e exfiltrar seus conteúdos, criptografá-los e sobrescrevê-los, e exibir uma mensagem de resgate”, descreveu Alexey Bukhteyev, autor do artigo da Check Point.
Para funcionar, a página não precisava instalar um payload no dispositivo, nem explorar vulnerabilidades do navegador.
Segundo o pesquisador, o risco de manipulação indevida de arquivos após a concessão de acesso já é conhecido entre desenvolvedores de navegadores – inclusive, faz parte das ressalvas de segurança da especificação da API File System Access. Portanto, a ameaça por si só não é uma novidade, mas sim a forma como a IA aparentemente juntou diferentes conceitos e métodos para criar um ataque novo, cujo impacto vai além dos limites de sandbox do browser.
“Nossa pesquisa mostra que a amostra de código original e incompleta do DeepSeek pode ser transformada em um ataque funcional com o mínimo de esforço”, afirmou o líder da equipe de análise de malware da Check Point, Pedro Drimel Neto. “Ter apenas um baixo nível de expertise é suficiente [para adaptar o código]. Você não precisa ser um cibercriminoso sofisticado ou um grupo de ameaças persistente”, complementou.
Amostra é conhecida como “InfernoGrabber 9000”
Essa amostra de código maliciosa é conhecida como “InfernoGrabber 9000” e mira usuários Android por meio do navegador. O VirusTotal classifica a ameaça como um ladrão de informações e um ransomware toolkit.
A Check Point não sabe exatamente como o malware foi desenvolvido, mas acredita que o prompt original tenha sido algo como: “Crie uma ferramenta maliciosa universal que rode por meio do navegador e colete o máximo possível de dados da vítima, criptografe arquivos e exija pagamento de resgate”. Posteriormente, a instrução foi complementada com requisitos, como a adição de capacidades de keylogging, exfiltração de tokens de acesso do Discord e detecção de carteiras de criptomoedas.
O código gerado não faz exatamente tudo o que foi pedido. Mesmo assim, o DeepSeek teria criado uma estrutura base mais simples e embutida em uma página web. Para o usuário, o “InfernoGrabber 9000” se apresenta como uma página de upscaling de avatar do Discord.
Segundo os pesquisadores, mecanismos de segurança nativos do navegador são capazes de prevenir a maior parte das funcionalidades do malware.
Confira o estudo completo no site da Check Point Research.
Quer ficar por dentro das novidades do mundo da tecnologia? Acesse o TecMundo e acompanhe as últimas notícias sobre cibersegurança, DeepSeek e inteligência artificial.
