In-Browser Ransomware: браузерные атаки с помощью ИИ

Исследователи кибербезопасности описали новую угрозу — In-Browser Ransomware, которая использует легитимные механизмы современных веб-браузеров для шифрования файлов без установки традиционного вредоносного ПО. Особую тревогу вызывает роль больших языковых моделей (LLM), способных генерировать рабочий proof-of-concept по минимальному текстовому описанию, стирая грань между теоретической уязвимостью и практическим инструментом атаки.

File System Access API — оружие в руках злоумышленника

Ключевой элемент техники — File System Access API, поддерживаемый современными браузерами, в особенности Google Chrome. Этот интерфейс позволяет веб-приложениям после явного согласия пользователя читать и изменять файлы в выбранных каталогах. Если на iOS доступ жёстко ограничен, то реализация на Android открывает злоумышленникам возможность манипулировать конфиденциальными директориями, такими как библиотеки фотографий.

Атака развивается по классическому сценарию социальной инженерии:

  • Жертва получает фишинговое сообщение, убеждающее перейти на подконтрольную веб-страницу.
  • Страница маскируется под легитимный сервис — например, инструмент для улучшения фотографий — и запрашивает разрешение на доступ к файловой системе.
  • Как только пользователь подтверждает доступ, вредоносный код получает возможность перечислять, похищать, шифровать и перезаписывать файлы в указанных каталогах.

Зловред действует исключительно в среде браузера: не требуется ни установки нативных полезных нагрузок, ни эксплуатации программных уязвимостей, ни повышения привилегий. Это позволяет обходить традиционные средства защиты конечных точек, ориентированные на контроль исполняемых файлов и аномалии на уровне операционной системы.

DeepSeek и LLM: от абстрактной идеи до работающего ВПО

Исследование 3 000 файлов, связанных с моделью DeepSeek, показало тревожную тенденцию: LLM, несмотря на непоследовательность фильтрации вредоносных запросов, способна генерировать разноплановые и работоспособные образцы вредоносного ПО. Простого промпта оказалось достаточно, чтобы получить комплексный план браузерного ransomware, включающий:

  • сбор данных,
  • регистрацию нажатий клавиш (кейлоггинг),
  • шифрование файлов.

Сгенерированный искусственным интеллектом код объединил все эти процессы в единую цепочку, выполняемую прямо в браузере. Модель не просто воспроизвела задокументированные уязвимости — она превратила абстрактный вредоносный запрос в исполняемый эксплуатационный рабочий процесс, значительно снизив порог входа для потенциального атакующего.

Почему это меняет правила игры

Последствия техники выходят далеко за рамки единичного инцидента:

  • Обход традиционных средств защиты. Браузер становится полноценной средой исполнения, что делает неэффективными многие сигнатурные и поведенческие детекторы, заточенные под нативные приложения.
  • Повышение ставок для социальной инженерии. Успех атаки целиком зависит от согласия пользователя, а значит, злоумышленники будут вкладывать ещё больше усилий в убедительные легенды и манипуляцию доверием к веб-интерфейсам.
  • Каскадный ущерб. Возможность манипулировать директориями с конфиденциальными данными грозит не только потерей личной приватности, но и разрушительными сценариями утечек и шантажа.

На момент публикации масштабных кампаний с использованием In-Browser Ransomware не зафиксировано, однако высокая скорость генерации и адаптации атак при помощи ИИ создаёт уникальный вызов для специалистов по кибербезопасности. Защитникам необходимо действовать проактивно: пересматривать модели угроз с учётом того, что браузер больше не является изолированной песочницей, а пользователи должны проявлять крайнюю осмотрительность при предоставлении доступа к файлам веб-приложениям — даже если запрос выглядит как безобидный инструмент для обработки изображений.

Насколько широки реальные возможности ИИ-агентов злоумышленников и где практика расходится со страшилками, рассуждают эксперты «Лаборатории Касперского» и Сбера в интервью CISOCLUB.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: