Siber güvenlik araştırmacıları, DeepSeek yapay zeka modeli kullanılarak oluşturulan ve hem Windows hem de Android cihazlarda tamamen tarayıcı içinde çalışan yeni bir fidye yazılımı tespit etti. Check Point tarafından yapılan açıklamaya göre, bu yazılım 'gerçekçi olmayan tarayıcı-kötü amaçlı yazılım konseptlerini gerçek bir tarayıcı yeteneğiyle birleştirerek' çalışan bir fidye yazılımı tekniğine dönüştürüyor. Bu, bir yapay zeka modelinin teorik bir tarayıcı içi fidye yazılımı riskini pratik bir saldırı zincirine bağımsız olarak dönüştürdüğü ilk belgelenmiş vaka olarak kaydedildi.
Söz konusu kötü amaçlı yazılım, 'deepseek_python_20260125_da0631.py' adlı bir Python Flask uygulaması olarak VirusTotal'a yüklendi ve Google'a ait tarama hizmeti tarafından 'tamamen işlevsel bir bilgi çalma ve fidye yazılımı araç seti' olarak tanımlandı. InfernoGrabber v9.0 adı verilen bu uygulama, sahte bir Discord avatar AI yükselticisiyle kurbanları cezbeden kötü niyetli bir web sunucusu olarak çalışıyor. Arka planda Discord token'larını çalma, kredi kartı numaralarını ve kripto para kurtarma ifadelerini toplama, tuş vuruşlarını kaydetme, web kamerası ve mikrofon akışlarını izinsiz yakalama gibi çok sayıda zararlı eylem gerçekleştiriyor.
Saldırı tekniği, bir kimlik avı tuzağı kullanarak kullanıcıyı bir web sayfasına dosya sistemi erişimi vermeye ikna etmeyi içeriyor. Ardından seçilen klasördeki yerel dosyaları numaralandırıyor, içeriklerini okuyup sızdırıyor, şifreleyip üzerine yazıyor ve son olarak kurbana bir fidye notu gösteriyor. Bu saldırının en dikkat çekici yanı, yerel bir yük yüklemeden, tarayıcı güvenlik açığından yararlanmadan veya root erişimi gerektirmeden gerçekleştirilebilmesi. Check Point araştırmacıları, saldırının Windows, macOS, Linux, Android ve Microsoft Edge'de çalıştığını, yalnızca iOS'ta başarısız olduğunu doğruladı.
Uzmanların Görüşleri
Yapay zeka destekli geliştirme, kötü niyetli kod oluşturma engelini düşürmenin yanı sıra, saldırganların böyle bir dosya sistemi erişim API'sinin varlığından haberdar olmasını veya onu kötüye kullanacak teknik uzmanlığa sahip olmasını gereksiz kılıyor. Araştırmacılar, geniş kapsamlı bir istemin, LLM'ler tarafından çalışan bir saldırı planına dönüştürülebildiğini belirtiyor. DeepSeek modellerinin, Anthropic veya OpenAI gibi Batılı modellere kıyasla kötü niyetli isteklere karşı daha düşük reddetme oranına sahip olması, tehdit aktörlerinin bu modeli tercih etmesine neden oluyor. Check Point Araştırma Başkanı Eli Smadja, 'Artık yeni siber saldırıların nasıl doğduğuna dair temel bir değişime tanıklık ediyoruz' diyerek, yapay zekanın meşru platform özelliklerini bağımsız olarak değerlendirip daha önce yalnızca teoride kalan saldırı tekniklerini hayata geçirebildiğini vurguluyor.