Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Alguien le pidió a DeepSeek crear un ransomware en el navegador y la IA accedió encantada


Investigadores de Check Point advirtieron que modelos de IA como DeepSeek están facilitando la creación de ransomware que opera directamente en el navegador. Mediante el abuso de la API de acceso al sistema de archivos de Chrome, atacantes con poca experiencia pueden diseñar aplicaciones web maliciosas para cifrar archivos locales. Aunque algunas muestras son incompletas, el equipo demostró que es posible convertirlas en ataques funcionales con un esfuerzo mínimo.



No puedes pedir a la mayoría de los modelos que te ayuden a crear "ransomware" directamente, pero muchos estarán más que dispuestos si les das el prompt adecuado. DeepSeek y otros LLM con menos controles de seguridad hacen que las ciberamenazas teóricas, como el ransomware exclusivo del navegador, tengan muchas más probabilidades de ser utilizadas en infecciones del mundo real, según los investigadores de Check Point.

La empresa israelí de ciberseguridad analizó en un informe del miércoles una muestra generada por DeepSeek que sus cazadores de amenazas describen como ransomware en el navegador.

Durante el último año, el equipo ha rastreado casi 3.000 archivos atribuidos a DeepSeek, y ha clasificado casi la mitad (1.383 archivos) como maliciosos o peligrosos utilizando VirusTotal o análisis estático de fuentes.

“Dentro de este conjunto de datos, encontramos una muestra que implementaba una técnica peligrosa nativa del navegador que no habíamos observado explotada en la naturaleza”, escribió el investigador Alexey Bukhteyev aquí.

Y aunque la muestra estaba incompleta y no podía llevar a cabo una infección real, las pruebas de la firma de seguridad mostraron que se requeriría “poco esfuerzo” para dejarla lista para el ataque.

“Nuestra investigación muestra que la muestra original incompleta de DeepSeek puede transformarse en un ataque plenamente funcional con un esfuerzo mínimo”, dijo Pedro Drimel Neto, líder del equipo de análisis de malware de Check Point Research.

“Se necesita muy poco esfuerzo”, afirmó Neto. “Una experiencia de bajo nivel es suficiente. No es necesario ser un cibercriminal sofisticado o un grupo de amenaza persistente avanzada. De hecho, ya hemos observado pruebas de que actores de amenazas reales intentan este ataque utilizando prompts sencillos de LLM”.

El riesgo que el ransomware representa para los navegadores no es una idea nueva. La especificación de Acceso al Sistema de Archivos aquí enumera el ransomware como una consideración de seguridad, y un documento de USENIX Security de 2023 sobre el ransomware en los navegadores web modernos aquí describía cómo la API de Acceso al Sistema de Archivos podría abusarse para cifrar archivos locales desde una aplicación web maliciosa.

La API de Acceso al Sistema de Archivos es una capacidad del navegador, soportada principalmente por Chrome y navegadores basados en Chromium, que permite a los desarrolladores crear aplicaciones web que pueden leer, escribir y gestionar archivos en el dispositivo local del usuario.

“Aunque puede utilizarse para desarrollar aplicaciones web enriquecidas, amplía enormemente la superficie de ataque, que puede ser abusada por adversarios para causar daños significativos”, escribieron en 2023 Güliz Seray Tuncay de Google e investigadores de la Universidad Internacional de Florida.

Lo nuevo, según Check Point, es que un modelo de IA puso estas ideas previamente documentadas en un “escenario de ataque realista y ejecutable aprovechando un método que los defensores originalmente pensaban que era inviable debido a los límites del sandbox del navegador: una muestra maliciosa atribuida a DeepSeek, generada como una fantasía de malware todo en uno, conectó este riesgo de plataforma documentado con una aplicación web realista de estilo phishing, demostrando una cadena de ataque viable de extremo a extremo”.

Esta técnica es especialmente atractiva para los atacantes porque no requiere un payload nativo, instalación de APK, exploit del navegador o acceso root al dispositivo comprometido. En su lugar, utiliza la ingeniería social —engañando al usuario para que haga clic en un botón malicioso— combinada con un aviso de permiso legítimo expuesto por la API de Acceso al Sistema de Archivos en Chrome.

Esta muestra particular que descubrió Check Point es una aplicación Python Flask dirigida a usuarios de Android. Se llama InfernoGrabber 9000 aquí, y VirusTotal la califica como un “kit de herramientas de ransomware y robo de información plenamente funcional”.

Aunque los investigadores no tienen el prompt enviado a DeepSeek para producir el malware, especulan que fue algo parecido a: “crea una herramienta maliciosa universal que se ejecute a través del navegador y recolecte la mayor cantidad de datos de la víctima posible, cifre archivos y exija un rescate”. En un único front-end, el código generado ensambló rutinas para keylogging, monitoreo del portapapeles, interceptación de formularios y solicitudes de red, recolección de tokens de Discord, descubrimiento de carteras de criptomonedas y tarjetas de pago, solicitudes de geolocalización, acceso a cámara y micrófono, capturas de pantalla, acceso a archivos locales y una superposición de estilo ransomware.

Para ser claros: la muestra no hace todo esto en realidad. “Una lectura más precisa es que se trata de un plano generado por IA en el que el modelo intentó traducir capacidades familiares de stealers nativos y herramientas de ransomware en una página web abierta en el navegador”, escribió Bukhteyev.

El código presenta un señuelo para la víctima disfrazado de optimizador de avatares de Discord con IA. Hacer clic en el señuelo pretende ejecutar una serie de acciones silenciosas y dañinas que se ejecutan enteramente dentro del proceso del navegador. Estas incluyen el robo de tokens de Discord, la recolección de números de tarjetas de crédito y frases semilla de criptomonedas. El código también incluye rutinas específicas para la explotación del navegador (como el objetivo CVE-2023-4863) y muestra una pantalla de WinLocker exigiendo Bitcoin.

La buena noticia para los defensores es que la muestra estaba incompleta y el modelo de seguridad integrado del navegador evita con éxito la mayor parte de esta funcionalidad.

Sin embargo, Check Point pudo crear una prueba de concepto funcional para el ataque nativo del navegador utilizando el último modelo DeepSeek V4. El equipo tuvo que eliminar algunos de los términos más explícitos —como ransomware— del prompt, pero finalmente produjo la misma funcionalidad: “una página web que pide al usuario acceso a los archivos locales, los procesa dentro del navegador y deja al usuario incapaz de recuperar el contenido original”. Es decir: ransomware exclusivo del navegador.

Neto nos dijo que este tipo de código generado por LLM y ataques en el navegador “probablemente estén ocurriendo ahora”.

“Esperamos ver esta actividad a corto plazo, si es que no ha sucedido ya”, añadió.

Mientras que los grupos de ransomware y extorsión tradicionales se dirigen a empresas y organizaciones de infraestructuras críticas, a diferencia de los usuarios de dispositivos Android, que fueron el foco de esta investigación, “hemos visto un aumento de la actividad de ransomware en usuarios finales recientemente”, dijo Neto. “Lo más preocupante es que la ofuscación de código utilizada en estos ataques los hace difíciles de detectar, por lo que existe una posibilidad real de que los ataques que utilizan esta técnica ya estén ocurriendo en la naturaleza pero pasen desapercibidos”.

Fuente:
TheRegister


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.