DeepSeek случайно создала работающий штамм программы-вымогателя

DeepSeek случайно создала работающий штамм программы-вымогателя

изображение: grok

Языковая модель DeepSeek в ответ на размытый пользовательский запрос выстроила рабочую цепочку атаки против Android-смартфонов и предложила механизм шифрования фотографий через легитимный браузерный API. Ни эксплойтов, ни установки вредоносных пакетов схема не требует — достаточно одного нажатия на кнопку разрешения. Специалисты Check Point Research собрали по этому образцу полноценный прототип, назвали его InfernoGrabber 9000 и подтвердили работоспособность на актуальных версиях Chrome.

Педро Дримель Нето, глава группы анализа вредоносного ПО в Check Point, рассказал, что модель никто не просил писать вымогатель напрямую. Запрос был обобщённый, местами нереалистичный, а DeepSeek сама связала между собой несколько давно известных технологий и превратила их в единый вектор. Дримель Нето уточнил, что полученный код был сырым, но доработать его до боевого состояния оказалось делом пары часов для человека с базовыми навыками веб-разработки.

Атака построена вокруг File System Access API — это штатная возможность современных браузеров, которая даёт сайту доступ к папкам на устройстве после согласия пользователя. Жертве показывают обычную веб-страницу с ИИ-обработкой фотографий, просят выдать доступ к галерее, и после подтверждения браузер отдаёт сайту содержимое всей выбранной директории. Основная цель у злоумышленников — каталог DCIM, где на большинстве Android-аппаратов лежат:

  • личные фотографии и видеозаписи;
  • сканы паспортов и водительских удостоверений;
  • снимки банковских карт и чеков;
  • скриншоты переписок и документов;
  • фото товарных чеков и налоговых квитанций.

Отмечается, что подобная схема бьёт и по российским пользователям — Chrome и Chromium-браузеры (Яндекс.Браузер, Atom, Chromium GOST) поддерживают тот же File System Access API, а тематические сайты с «ИИ-улучшайзерами фото» массово продвигаются в русскоязычном сегменте через рекламные сети и Telegram-каналы.

Для базового исследования команда Check Point прогнала через VirusTotal и статический анализ около 3 000 файлов, сгенерированных DeepSeek за период тестирования. Из этой выборки к потенциально опасным или откровенно вредоносным отнесли 1383 образца — почти половину массива. Именно в этом пуле обнаружился фрагмент, реализующий атаку через браузерные API без единой строчки нативного Android-кода.

Дримель Нето обратил внимание на то, что подобные попытки его команда уже фиксировала в реальном интернете — некоторые группировки прогоняют простые промпты через открытые модели и получают заготовки, которые дальше идут в работу практически без правок. Дримель Нето добавил, что порог входа обрушился настолько, что заниматься этим могут школьники с одним ноутбуком и подпиской на нейросеть.

Эли Смаджа, руководитель исследовательского подразделения Check Point, оценивает произошедшее как смену модели угроз. По словам Смаджи, ИИ уже не просто пишет по подсказке — он сам разбирает возможности штатных технологий и комбинирует их в схемы, о которых человек мог бы не подумать. Смаджа считает, что защитникам придётся пересматривать подход к легитимным API, потому что классические сигнатурные детекторы такую активность не поймают в принципе.

Сама идея применить File System Access API для вымогательства не нова — её разбирали ещё на конференции USENIX Security в 2023 году как теоретическую возможность. Разница в том, что тогда это была академическая гипотеза, а теперь языковая модель без подсказки собрала эту гипотезу в работоспособный прототип.

Стоит обратить внимание — при тестировании обновлённой DeepSeek V4 модель на прямые запросы про вымогатели отвечала отказом, но после лёгкой переформулировки и удаления слов-триггеров снова выдавала пригодные к работе фрагменты цепочки.

Для чистоты эксперимента исследователи прогнали похожие запросы через другие популярные модели. Результаты разделились по нескольким сценариям:

  • полный отказ от выполнения запроса на любом этапе;
  • выдача безопасной реализации без доступа к пользовательским файлам;
  • выдача кода-заглушки с явными комментариями о недопустимости использования;
  • запрос на уточнение целей у пользователя перед генерацией;
  • подмена задачи на образовательную демонстрацию с фиктивными путями.

DeepSeek оказалась единственной моделью из проверенных, которая довела запрос до работоспособной цепочки. Собранный прототип испытали на связке Android 14 и Chrome 148 — механизм действительно шифрует содержимое выбранной папки за секунды после подтверждения разрешения.

Что должно насторожить российские компании и рядовых пользователей:

  • атака не требует установки APK и обходит проверку Google Play Protect;
  • Chromium-браузеры российской разработки унаследовали тот же API;
  • корпоративные MDM-политики редко запрещают File System Access;
  • фишинговые сайты с ИИ-обработкой фото массово рекламируются в РФ;
  • пострадавшие файлы восстановлению без ключа не подлежат.

Дримель Нето рекомендует организациям пересмотреть отношение к браузерным окнам с запросом доступа — щелчок по кнопке «Разрешить» теперь может стоить дороже, чем установка сомнительного приложения. Дримель Нето также посоветовал добавить в корпоративные политики явный запрет на выдачу разрешений на доступ к директориям с фотографиями и документами для веб-ресурсов.

Ранее сообщалось, что китайская компания DeepSeek начала крупнейшую кадровую кампанию с момента своего основания и намерена как минимум удвоить численность сотрудников во всех подразделениях. Основной целью расширения называется ускорение разработки технологий AGI и переход от преимущественно исследовательской деятельности к созданию коммерческих продуктов. Одновременно стартап завершил первый внешний инвестиционный раунд, в ходе которого привлёк около 7,4 млрд долларов.

По словам экспертов CISOCLUB, кейс с DeepSeek — это не про очередной баг конкретной модели, а про сдвиг в самой природе угроз. Редакция обращает внимание, что российские пользователи находятся в зоне повышенного риска — рынок наводнён Chromium-форками и рекламой сомнительных ИИ-сервисов для обработки фото, а осведомлённость о рисках браузерных API у широкой аудитории близка к нулю. Отдельного разговора заслуживает поведение самой DeepSeek — китайская модель показала минимальные защитные фильтры по сравнению с западными аналогами, и это ставит вопросы к её применению в корпоративной среде.

Российским CISO имеет смысл уже сейчас включать в матрицы угроз сценарии с легитимными API-разрешениями и обучать сотрудников распознавать такие ловушки. Ждать, пока подобные вымогатели пойдут в массу через русскоязычные Telegram-каналы, осталось недолго.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: