
Check Point Research demostró que DeepSeek V4 generó un ransomware casi funcional basado en navegador, llamado InfernoGrabber 9000, que utiliza la API legítima File System Access de Chrome para cifrar archivos locales en Windows, Linux, macOS y Android, sin requerir instalación nativa de malware ni exploits.
La prueba de concepto revela un nuevo vector de ataque: un modelo de IA vinculó de forma independiente una capacidad teórica (el cifrado de archivos desde el navegador) con una técnica funcional al identificar y weaponizar la API `showDirectoryPicker()`, una característica legítima del navegador que permite a las páginas web leer y modificar archivos en directorios seleccionados por el usuario.
Cómo funciona. El ataque comienza con un señuelo de ingeniería social, una aplicación web falsa de “Mejorador de Avatares con IA” o de ampliación de imágenes, que engaña a la víctima para que otorgue permiso de acceso a nivel de carpeta. Una vez que la víctima selecciona un directorio (como su carpeta de fotos), el ransomware basado en JavaScript enumera, lee y cifra los archivos usando los manejadores de archivos del navegador, y luego muestra una nota de rescate. Debido a que el ransomware se ejecuta completamente como JavaScript dentro de la pestaña del navegador, los productos antivirus no están diseñados para detectarlo como código binario malicioso.
En Android, el riesgo se amplifica. Chrome admite acceso completo al sistema de archivos, permitiendo que los sitios web soliciten acceso al directorio de fotos DCIM, donde se acumulan durante años fotos personales, identificaciones escaneadas, capturas de pantalla bancarias y códigos de recuperación. iOS Safari no expone la misma API, lo que limita la superficie de ataque en dispositivos Apple.
El rol de DeepSeek. Los investigadores encontraron que mientras Anthropic y OpenAI rechazan consistentemente solicitudes relacionadas con ransomware, robo de credenciales o generación de malware, DeepSeek V4 es menos restrictivo. Cuando se presentó con un lenguaje neutral (evitando términos como “ransomware”), el modelo generó consistentemente código funcional de ransomware basado en navegador. DeepSeek describió su propio resultado como “una trampa sofisticada que combina una interfaz convincente de mejora de imágenes con IA con comportamientos ocultos similares a ransomware”.
La técnica no requiere instalación de APK, carga útil nativa, exploit de navegador ni acceso root, solo un clic de permiso. Check Point validó el ataque con una prueba de concepto controlada y confirmó que funciona en navegadores basados en Chromium en las cuatro plataformas principales.
Fuente: Check Point Research, Daily Security Review, Organisator
Traducido por Alessandra

