
Mult timp, experţii în securitate cibernetică au considerat că browserele web oferă un nivel suficient de izolare faţă de sistemul de operare pentru a împiedica atacurile ransomware fără instalarea unui program maliţios. O analiză publicată de Check Point sugerează însă că această presupunere nu mai este valabilă în toate situaţiile.
Cercetătorii au identificat un exemplu de malware generat cu ajutorul modelului de inteligenţă artificială DeepSeek, capabil să utilizeze o funcţie legitimă a browserelor moderne pentru a cripta fişierele utilizatorilor. Deşi metoda nu a fost observată în atacuri reale, demonstraţia evidenţiază faptul că modelele AI pot descoperi scenarii de atac considerate până acum improbabile, potrivit The Hacker News.
Eşantionul analizat a fost încărcat pe VirusTotal la începutul anului şi se prezenta drept o aplicaţie care promitea îmbunătăţirea avatarurilor Discord cu ajutorul inteligenţei artificiale. În realitate, software-ul ascundea un set extins de instrumente utilizate în atacurile informatice.
Printre capabilităţile sale se numărau furtul tokenurilor Discord, colectarea datelor introduse de utilizatori, sustragerea informaţiilor despre carduri bancare şi portofele de criptomonede, precum şi accesarea camerei web şi a microfonului fără acordul victimei. În plus, aplicaţia includea şi o componentă ransomware, capabilă să cripteze datele şi să solicite plata unei răscumpărări în Bitcoin.
Elementul care a atras atenţia cercetătorilor este însă modul de funcţionare al atacului. În loc să exploateze o vulnerabilitate a sistemului de operare sau să instaleze un program dedicat, acesta foloseşte File System Access API, o funcţie disponibilă în browserele bazate pe Chromium, creată pentru a permite accesul controlat la fişierele pe care utilizatorul decide să le partajeze cu un site.
Dacă victima este convinsă printr-o pagină de tip phishing să acorde permisiunile necesare, codul maliţios poate accesa fişierele din directorul selectat, le poate copia, transmite către atacatori şi chiar modifica prin criptare, totul fără a părăsi mediul browserului.
Potrivit Check Point, aspectul cu adevărat îngrijorător nu este doar apariţia unei noi tehnici de ransomware, ci faptul că inteligenţa artificială pare să fi identificat singură această combinaţie dintre funcţiile legitime ale browserului şi un scenariu de atac viabil.
Specialiştii susţin că autorul nu trebuia neapărat să cunoască existenţa File System Access API. Un prompt formulat suficient de general ar fi putut determina modelul AI să genereze o metodă funcţională de exploatare a acestei facilităţi.
Raportul mai arată că modelele de inteligenţă artificială cu restricţii mai puţin stricte privind solicitările maliţioase pot produce mai uşor cod utilizabil în atacuri informatice comparativ cu platformele care aplică filtre de securitate mai severe.
În testele efectuate de cercetători, tehnica a funcţionat în Google Chrome şi în alte browsere bazate pe Chromium, inclusiv Microsoft Edge, pe sisteme Windows, macOS, Linux şi Android. Dispozitivele iPhone nu au fost afectate, deoarece implementarea funcţiei utilizate diferă în ecosistemul Apple.
Până în prezent nu există dovezi că această metodă a fost folosită în campanii reale de ransomware. Cu toate acestea, experţii consideră că demonstraţia reprezintă un semnal important pentru industria securităţii cibernetice. Pe măsură ce modelele de inteligenţă artificială devin tot mai capabile să identifice combinaţii neaşteptate între funcţiile legitime ale aplicaţiilor, acestea ar putea accelera dezvoltarea unor noi metode de atac şi ar putea schimba modul în care sunt descoperite vulnerabilităţile informatice.