Pesquisadores de segurança encontraram uma amostra de código gerado pelo DeepSeek que, com pouco esforço, podia ser transformada em um ransomware no navegador. O achado estava contido entre 1.383 arquivos maliciosos associados ao chatbot analisados pela Check Point, empresa americano-israelense especialista em cibersegurança.Publicado nesta quarta-feira (1), o estudo envolveu a análise de 3 mil arquivos associados ao DeepSeek observados em dados de telemetria públicos ao longo do último ano. A base de dados continha documentos de diferentes tipos, incluindo Python, Batch, HTML, JavaScript e PowerShell. Destes, 1.383 foram considerados maliciosos ou perigosos pela detecção do VirusTotal ou análise estática da fonte.Dentre os arquivos, uma amostra implementava uma técnica perigosa, nativa de navegador, cuja exploração ainda não foi observada em ambiente real. O método ficou conhecido como "In-Browser Ransomware" (algo como "Ransomware no navegador", em tradução livre). "Ele utiliza um artifício de phishing para persuadir a vítima a conceder a uma página da web acesso ao sistema de arquivos; uma vez concedido o acesso, a página pode listar arquivos locais na pasta selecionada, ler e exfiltrar seus conteúdos, criptografá-los e sobrescrevê-los, e exibir uma mensagem de resgate", descreveu Alexey Bukhteyev, autor do artigo da Check Point.O malware se disfarça como uma ferramenta de upscaling de avatar do Discord. (Fonte: Check Point Research/Reprodução)Para funcionar, a página não precisava instalar um payload no dispositivo, nem explorar vulnerabilidades do navegador.Segundo o pesquisador, o risco de manipulação indevida de arquivos após a concessão de acesso já é conhecido entre desenvolvedores de navegadores – inclusive, faz parte das ressalvas de segurança da especificação da API File System Access. Portanto, a ameaça por si só não é uma novidade, mas sim a forma como a IA aparentemente juntou diferentes conceitos e métodos para criar um ataque novo, cujo impacto vai além dos limites de sandbox do browser."Nossa pesquisa mostra que a amostra de código original e incompleta do DeepSeek pode ser transformada em um ataque funcional com o mínimo de esforço", afirmou o líder da equipe de análise de malware da Check Point, Pedro Drimel Neto. "Ter apenas um baixo nível de expertise é suficiente [para adaptar o código]. Você não precisa ser um cibercriminoso sofisticado ou um grupo de ameaças persistente", complementou.Amostra é conhecida como "InfernoGrabber 9000"Essa amostra de código maliciosa é conhecida como "InfernoGrabber 9000" e mira usuários Android por meio do navegador. O VirusTotal classifica a ameaça como um ladrão de informações e um ransomware toolkit.A Check Point não sabe exatamente como o malware foi desenvolvido, mas acredita que o prompt original tenha sido algo como: "Crie uma ferramenta maliciosa universal que rode por meio do navegador e colete o máximo possível de dados da vítima, criptografe arquivos e exija pagamento de resgate". Posteriormente, a instrução foi complementada com requisitos, como a adição de capacidades de keylogging, exfiltração de tokens de acesso do Discord e detecção de carteiras de criptomoedas.O código gerado não faz exatamente tudo o que foi pedido. Mesmo assim, o DeepSeek teria criado uma estrutura base mais simples e embutida em uma página web. Para o usuário, o "InfernoGrabber 9000" se apresenta como uma página de upscaling de avatar do Discord.Segundo os pesquisadores, mecanismos de segurança nativos do navegador são capazes de prevenir a maior parte das funcionalidades do malware.Confira o estudo completo no site da Check Point Research.Quer ficar por dentro das novidades do mundo da tecnologia? Acesse o TecMundo e acompanhe as últimas notícias sobre cibersegurança, DeepSeek e inteligência artificial.