Der von Check Point untersuchte Fund ist eine Python-Flask-Anwendung, die Opfer mit einem gefälschten Discord-Avatar-KI-Upscaler ködern soll. Im Hintergrund führt sie laut VirusTotal eine Reihe schädlicher Funktionen aus: Sie stiehlt Discord-Token, sammelt Kreditkartennummern und Seed-Phrasen für Kryptowährungen, protokolliert Tastatureingaben und greift unbefugt auf Webcam- und Mikrofon-Feeds zu.

Wie VirusTotal weiter ausführt, enthält der Code spezielle Routinen zur Browser-Ausnutzung mit Bezug auf CVEs wie CVE-2023-4863, zur Datenexfiltration über einen fest eingebauten Discord-Webhook, einen Ransomware-Bildschirm vom Typ „WinLocker“ mit Bitcoin-Forderung sowie ein Administrations-Dashboard zur Verwaltung der gestohlenen Daten. Der Malware-Autor bezeichnet das Paket als InfernoGrabber v9.0.

Im Mittelpunkt der Check-Point-Analyse steht jedoch die In-Browser-Ransomware-Funktion. Dabei wird ein Phishing-Köder genutzt, um einen Nutzer dazu zu bringen, einer Webseite Zugriff auf das Dateisystem zu gewähren. Anschließend listet die Seite lokale Dateien im ausgewählten Ordner auf, liest deren Inhalte aus, exfiltriert sie, verschlüsselt sie, überschreibt sie und zeigt danach eine Erpressungsnachricht an. Nach Angaben von Check Point gelingt das, ohne einen nativen Schadcode zu installieren, ohne eine Browser-Schwachstelle auszunutzen und ohne Root-Rechte zu benötigen.

Möglich wird das laut dem Bericht durch Browser, die eine auswahllistenbasierte File System Access API bereitstellen. Dazu zählen Google Chrome und andere Chromium-basierte Browser unter Windows und Android. Zugleich betont Check Point, dass es keine Hinweise darauf gibt, dass dieses browsernative Ransomware-Muster bereits in freier Wildbahn missbraucht wurde.

Check Point ordnet den Fall als Beleg dafür ein, dass große Sprachmodelle die Bedrohungslage verändern. Bemerkenswert sei der Einsatz von DeepSeek, weil die Modelle des chinesischen Unternehmens nach Darstellung der Forscher schädliche Cyber-Anfragen seltener ablehnen als westliche Pendants von Anthropic, Google oder OpenAI. Hinzu komme der kostenlose Zugang über die Weboberfläche, die Verfügbarkeit in Regionen, in denen andere Spitzenmodelle nicht betrieben werden, und die Fähigkeit, aus einem „einzigen groben Prompt“ eine funktionierende schädliche Anwendung zu erzeugen.

Nach Angaben des israelischen Sicherheitsunternehmens stammt der Fund aus einer Untersuchung von rund 3.000 Dateien, die im vergangenen Jahr DeepSeek zugeschrieben wurden. 1.383 dieser Proben wurden als bösartig oder gefährlich eingestuft. Welcher genaue Prompt zur Erzeugung der Python-Datei verwendet wurde, ist unbekannt.

Eli Smadja, Forschungschef von Check Point Research, spricht von einem grundlegenden Wandel bei der Entstehung neuer Cyberangriffe. Er sagt, erstmals gebe es Belege dafür, dass ein KI-Modell selbstständig über legitime Plattformfunktionen hinweg schlussfolgern und daraus eine funktionierende Angriffstechnik ableiten könne, obwohl der Angreifer die zugrunde liegende API womöglich gar nicht kenne. Smadja fordert Organisationen auf, die Bereitstellungsebene zu härten, vertrauensbasierte Berechtigungsmodelle zu überdenken und jede Browser-Abfrage als Sicherheitsentscheidung zu behandeln.