Browser-native Ransomware

DeepSeek generiert Erpressersoftware für den Browser

DeepSeek, llmjacking deepseek, LLMJacking, LLM
Bildquelle: mundissima / Shutterstock.com

Sicherheitsforscher von Check Point warnen vor KI-generierter Schadsoftware: Das Modell DeepSeek erzeugte Code für Ransomware direkt im Webbrowser.

Sicherheitsforscher des IT-Sicherheitsunternehmens Check Point haben in einem aktuellen Bericht eine neue Klasse von Schadsoftware analysiert, die mithilfe des KI-Modells DeepSeek erstellt wurde. Bei der Untersuchung von rund 3000 Dateien, die mit DeepSeek in Verbindung gebracht werden, stuften die Analysten fast die Hälfte, genau 1383 Dateien, als bösartig oder gefährlich ein. Ein konkretes Fundstück namens InfernoGrabber 9000 implementiert eine Erpressermethode, die vollständig innerhalb des Webbrowsers abläuft. Das vorliegende Skript war zwar unvollständig und in der Praxis noch nicht direkt infektionsfähig, demonstriert jedoch ein neues Bedrohungsszenario. Pedro Drimel Neto, Leiter des Malware-Analyse-Teams bei Check Point Research, erklärte dazu:

Anzeige

„Unsere Forschung zeigt, dass das ursprüngliche unvollständige DeepSeek-Sample mit minimalem Aufwand in einen voll funktionsfähigen Angriff verwandelt werden kann.“

Check Point Research

Anzeige

Für die Fertigstellung seien lediglich geringe Fachkenntnisse erforderlich.

Missbrauch der Dateisystem-Schnittstelle in Chrome

Die Funktionsweise dieser in-browser Ransomware basiert auf dem Missbrauch der legitimen Programmierschnittstelle File System Access API. Diese Funktion wird primär von Google Chrome und darauf basierenden Chromium-Browsern unterstützt, um Webanwendungen wie Editoren den Zugriff auf lokale Dateien zu ermöglichen. Die Schadsoftware tarnt sich als harmlose Webanwendung, beispielsweise als Werkzeug zur Verbesserung von Discord-Avataren.

Durch Social Engineering wird der Nutzer dazu verleitet, eine scheinbar reguläre Erlaubnisabfrage des Browsers zu bestätigen. Sobald der Zugriff gewährt ist, verschlüsselt der im Hintergrund laufende Code die lokalen Daten des Anwenders direkt über den Browser-Prozess, ohne dass ein separates Schadprogramm auf dem Betriebssystem installiert werden muss. Der Entwurf sieht zudem Funktionen zum Abgreifen von Kreditkartendaten, Passwörtern und Krypto-Schlüsseln vor.

Erfolgreicher Funktionstest mit DeepSeek V4

Obwohl die integrierten Sicherheitsbarrieren moderner Browser den automatischen Ablauf des ursprünglichen InfernoGrabber-Codes blockierten, gelang den Forschern der Nachweis der Machbarkeit. Unter Verwendung der aktuellen Version DeepSeek V4 erstellte das Team ein funktionierendes Proof-of-Concept-Modell für einen reinen Browser-Angriff. Hierzu mussten lediglich explizite Begriffe wie Ransomware aus den Eingabebefehlen entfernt werden. Das resultierende System forderte den Dateizugriff an, verarbeitete die Daten intern und machte die Originalinhalte für den Nutzer unbrauchbar. Da der Angriff keinen klassischen Schadcode auf der Festplatte hinterlässt und oft verschleiert ausgeführt wird, ist die Erkennung durch herkömmliche Sicherheitswerkzeuge erschwert.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.