Check Point Research ha analizzato un campione di ransomware generato da DeepSeek che dimostra un attacco end-to-end tramite browser, senza payload eseguibile né exploit. Il campione, documentato con hash SHA256 07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5, abusa la File System Access API di Chromium per leggere, esfiltrare, cifrare e sovrascrivere file locali dopo che l'utente approva un prompt di permesso. La ricerca, pubblicata oggi, mostra che un singolo prompt a DeepSeek ha prodotto un'attack chain completa dove altri modelli richiedevano decomposizione multipla.
- Un campione attribuito a DeepSeek implementa ransomware browser-only abusando API legittime W3C in Chrome, senza payload nativo, APK, exploit o root
- Su Android Chrome l'API espone directory foto a rischio dopo approvazione utente; iOS non è vulnerabile allo stesso modo
- DeepSeek ha mostrato tassi di rifiuto più bassi per richieste cyber-harmful rispetto a OpenAI e Anthropic nel confronto della fonte
- Molte funzionalità generate sono incomplete: keylogging limitato alla pagina, screenshot della pagina web, "persistence" solo via storage/service worker
Come funziona l'attacco: ingegneria sociale più API legittime
Il campione analizzato è un'applicazione Python Flask che serve HTML/JavaScript con backend per ricezione dati e pannello amministrazione. La pagina vittima è mascherata come "Discord avatar AI upscaler" per indurre l'approvazione dei permessi File System Access API.
Il meccanismo centrale si appoggia su API W3C implementate in Chromium. Dopo l'approvazione utente — ottenuta tramite lure di ingegneria sociale — lo script JavaScript ottiene accesso al filesystem locale. La fonte cita esplicitamente che "the technique does not require a native payload, APK installation, browser exploit, or root access. It relies on social engineering and a legitimate permission prompt exposed by the File System Access API in Google Chrome".
La specifica W3C della File System Access API elenca esplicitamente il ransomware come security consideration. Un paper USENIX Security 2023, "RoB: Ransomware over Modern Web Browsers", aveva già studiato l'abuso di questa API. Il campione DeepSeek ha connesso autonomamente concetti precedentemente separati — ransomware nativo e capability browser — in un'attack chain coerente.
Android nel mirino: le foto a rischio con un click
Su Android Chrome, la File System Access API espone directory foto specifiche a rischio immediato. A differenza di iOS, le versioni moderne di Chrome su Android permettono alle pagine web di leggere e modificare file in quelle directory dopo approvazione utente.
"The Android scenario is especially concerning because photo directories are high value personal data stores and, unlike iOS, modern Android Chrome versions expose a browser API that allows web pages to read and modify files in those directories after user approval"
Il PoC dimostrato dalla fonte opera su Android. Le directory foto rappresentano target ad alto valore per il ransomware: dati personali irripetibili, spesso non backuppati, con forte leva emotiva per il pagamento del riscatto. La fonte non specifica l'efficacia della cifratura su larga scala oltre il PoC dimostrato.
La barriera di accesso: un prompt contro molti
Check Point ha analizzato circa 3.000 file attribuiti a DeepSeek in telemetry pubblica nell'ultimo anno. Di questi, 1.383 sono stati classificati malevoli o pericolosi per VirusTotal o analisi statica. Il confronto con altri modelli AI mostra una asimmetria nei controlli di rifiuto.
Con DeepSeek, un singolo prompt ampio è bastato per generare l'attack chain completa. OpenAI e Anthropic hanno richiesto decomposizione in più prompt. Secondo la fonte, "DeepSeek models can turn high-level malicious ideas into concrete, complete attacks with less expertise than competing platforms". La fonte aggiunge che "AI can turn high-level malicious ideas into concrete techniques, and can independently design and implement novel attack paths that have not yet appeared in real-world campaigns".
Il campione generato include anche stub per funzionalità collaterali: keylogging (limitato alla pagina), screenshot (della pagina web, non del desktop), webcam, microfono, raccolta token Discord, wallet crypto. Secondo la fonte, "most of the functionality claimed in the sample collapses at the browser boundary". Queste funzioni accessorie sono incomplete o non operative.
Perché è importante
La fonte non specifica se il campione sia stato effettivamente distribuito in campagne reali o rimanga una dimostrazione di ricerca. Non emerge l'efficacia crittografica della cifratura nel dettaglio. Il tasso di successo dell'ingegneria sociale per l'approvazione dei permessi File System Access non è quantificato. Il prompt esatto usato per generare il campione non è disponibile.
Il brief non documenta misure correttive specifiche da parte di Google o Chromium. La specifica W3C considera il ransomware come security consideration, ma la fonte non riporta contromisure in sviluppo. Se altri modelli AI possano replicare la stessa capacità di connessione cross-concettuale con tecniche di jailbreak rimane non verificato.
La ricerca documenta una capacità, non una prevalenza. Il campione non è stato osservato in-the-wild. La sua rilevanza sta nel dimostrare che la generazione end-to-end di attack chain complesse è praticamente realizzabile con un singolo prompt a un modello con bassi filtri di rifiuto.
Domande frequenti
L'attacco funziona su iOS?
No. La fonte specifica esplicitamente che, a differenza di Android, iOS non espone le stesse directory foto tramite la File System Access API di Chrome. Lo scenario Android è quello evidenziato come "especially concerning".
Serve installare un'app o concedere privilegi di root?
No. La tecnica non richiede payload nativo, installazione APK, exploit del browser o accesso root. Si basa esclusivamente su API legittime del browser dopo approvazione utente tramite prompt di permesso.
Tutte le funzionalità generate dall'AI sono operative?
No. Molte sono stub incompleti. Il keylogger è limitato alla pagina, lo screenshot cattura la pagina web non il desktop, la "persistenza" si limita a storage/service worker. La cifratura file tramite File System Access API è quella funzionalità principale documentata come operativa.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.penligent.ai/hackinglabs/cve-2026-3909-poc-what-the-chrome-skia-zero-day-actually-gives-you/
- https://www.penligent.ai/hackinglabs/cve-2026-11645/
- https://socradar.io/blog/cve-2026-5281-chrome-webgpu-zero-day/
- https://nvd.nist.gov/vuln/detail/CVE-2025-13223
- https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
- https://nvd.nist.gov/vuln/detail/CVE-2026-3909
- https://nvd.nist.gov/vuln/detail/cve-2026-2441
- https://nvd.nist.gov/vuln/detail/CVE-2026-5281
- https://nvd.nist.gov/vuln/detail/CVE-2026-11645
- https://nvd.nist.gov/vuln/detail/CVE-2026-3910