
AI生成浏览器勒索软件借助Chromium API攻陷Windows与安卓
研究人员发现一款由DeepSeek生成的恶意样本,利用Chromium的文件系统访问API,在Windows和Android上的浏览器内即可完成窃取、加密与勒索,无需安装本地木马或获取root权限。
网络安全研究人员已经标记出一个新的 malware 产物,该产物使用 DeepSeek 生成,构建出一条新颖的攻击路径,将“并不现实的 browser-malware 概念与一个真实的 browser 功能”结合起来,把它变成一种可运行的 ransomware 技术,而且这种技术完全在 browser 内运行,适用于 Windows 和 Android 设备。
“这是首个有记录的案例,frontier AI model 独立弥合了理论上的 browser-only ransomware 风险与实际可运行攻击链之间的鸿沟——浮现出一条此前防御者因 browser sandboxing 限制而认为不可行的新颖攻击路径,”Check Point 在与 The Hacker News 分享的声明中表示。
“发现一条新攻击路径所需的专业知识不再是瓶颈,防御者现在需要把这种变化考虑进去——在 threat actors 将其大规模 operationalize 之前。”
被识别出的样本是一个名为“deepseek_python_20260125_da0631.py”的 Python Flask application,于 2026 年 1 月 25 日上传至 VirusTotal;这家由 Google 拥有的 malware 扫描服务将其描述为一个“功能完整的信息窃取器和 ransomware 工具包”。该 malware 作者将其命名为 InfernoGrabber v9.0。
该应用被设计为一个恶意 web server,通过伪造的 Discord avatar AI upscaler 来诱骗受害者,同时悄悄执行大量有害行为,包括窃取 Discord tokens、收集信用卡号码和 cryptocurrency seed phrases、记录 keystrokes,以及捕获未经授权的 webcam 和 microphone 画面流。
“代码包含针对 browser exploitation 的特定例程(目标包括 CVE-2023-4863 之类的 CVEs)、通过硬编码的 Discord webhook 进行 data exfiltration、一个要求以 Bitcoin 支付的 ransomware ‘WinLocker’ 屏幕,以及供 attacker 管理被窃数据的 administrative dashboard,”VirusTotal 表示。
这些发现出现之际,artificial intelligence 和 large language models (LLMs) 正在重塑 cyber threat landscape,使 threat actors 能够滥用这项技术来开发 malware 和 exploits。DeepSeek 的使用尤为值得注意,因为这表明,与 Anthropic、Google 或 OpenAI 的西方同类产品相比,这家中国公司的 models 对恶意 cyber 请求的拒绝率更低。
促成 DeepSeek 被使用的其他因素还包括:可通过 web interface 免费访问、在其他 frontier models 不运行的地区也可使用,以及它能够从“单一宽泛 prompt”生成可工作的恶意 application,而不是像 Anthropic 或 OpenAI 的 models 那样需要更多条件。
“DeepSeek models 可以把高层次的恶意想法转化为具体、完整的攻击,而且所需专业知识比竞争平台更少,”Check Point Research 表示。
这家以色列网络安全公司表示,它是在分析过去一年中大约 3,000 个归因于 DeepSeek 的文件时发现了这个 Python 产物。其中有 1,383 个样本被归类为恶意或危险。这个 Python malware 是所谓 In-Browser Ransomware 的一个实例,它实现了一种在现实世界 campaign 中过去从未遇到过的 browser-native 技术。用于生成该样本的确切 prompt 尚不清楚。
这种攻击技术包括使用 phishing decoy 诱骗用户授予网页 file system access,然后该网页枚举所选文件夹中的本地文件,读取并 exfiltrate 其内容,加密并覆盖这些文件,最后向受害者显示一则勒索说明。更不寻常的是,这一切都可以在不安装 native payload、不利用 browser vulnerability、也不需要 root access 的情况下完成。
这里值得一提的是,这种方法仅限于暴露了基于 picker 的 File System Access API 的 web browsers。这包括 Google Chrome 以及 Windows 和 Android 操作系统上的其他基于 Chromium 的 browsers。没有证据表明这种 browser-native ransomware 模式已在野外被滥用。
AI-assisted development 另一个令人担忧的方面不仅在于它降低了 bad actors 生成 offensive code 的门槛,还在于他们甚至一开始都不需要知道这种 file system access API 的存在,或者具备用来滥用它的技术 expertise。
换句话说,只要输入一个过于宽泛的 prompt,LLM 就足以——受 guardrails 约束,或在缺乏 guardrails 的情况下——根据一条抽象的恶意请求,构造出一份可工作的 attack blueprint。当用户技术理解有限、却列出不现实的要求时,model 为了满足这些要求,可能会生成 hallucinated outcomes,并在这个过程中浮现出不寻常的技术。
“我们所见证的是新型 cyber attacks 诞生方式的根本性转变。首次有证据表明,AI model 可以独立推理合法 platform features,并浮现出一种人类只曾理论化过的可工作攻击技术——而 attacker 甚至从未知道底层 API 的存在,”Check Point Research 的 research 负责人 Eli Smadja 在一份声明中表示。
“将复杂攻击 operationalize 的门槛正在崩塌,这对每一个将 AI 嵌入工作流程的 organization,以及每一个如今把自己整个个人与职业生活都装在 photo library 里的 mobile user,都有深远影响。AI security 的未来不能寄望于 models 会拒绝明显的恶意请求;它必须假设下一种攻击技术不是由人类 researcher 发现,而是由一次偶然碰对一件事的 AI hallucination 发现。”
Smadja 也敦促各组织通过加固 delivery layer、重新思考基于 permission 的 trust,并把每一个 browser prompt 都视为一项 security decision,来做好准备。